CEVIU News - CEVIU Segurança da Informação - 15 de abril de 2026

A equipe de Pesquisa de Ameaças da Socket identificou 108 extensões maliciosas do Chrome, com aproximadamente 20 mil instalações, operando como uma campanha coordenada de MaaS (Malware-as-a-Service) sob uma infraestrutura C2 compartilhada em cloudapi[.]stream. Dessas, 54 extensões coletam identidades Google OAuth2 via chrome.identity.getAuthToken, uma exfiltra ativamente sessões do Telegram Web a cada 15 segundos, e 45 contêm um backdoor universal loadInfo() que abre URLs especificadas pelo operador a cada inicialização do navegador. Todas as cinco identidades de editor remontam a apenas dois números de projeto do Google Cloud, e o backend do C2 executa um CMS Strapi com um portal de pagamento, confirmando que as identidades são vendidas como um serviço. Defensores devem bloquear cloudapi[.]stream e top[.]rodeo no perímetro da rede, escanear os pacotes das extensões em busca do padrão user_info/infoURL/chrome.tabs.create e sinalizar qualquer extensão que combine a permissão de identidade com regras de declarativeNetRequest que removem os cabeçalhos CSP.

Dois membros da equipe de suporte da Kraken gravaram, separadamente, filmagens do sistema interno de gestão de clientes e as vazaram para fóruns criminosos, expondo dados de aproximadamente 2.000 contas. Isso viabilizou uma tentativa de extorsão que a Kraken se recusou a pagar, cooperando com autoridades policiais federais em múltiplas jurisdições.

Uma falha crítica, CVE-2026-5194, na biblioteca wolfSSL permite que atacantes submetam certificados forjados com digests subdimensionados que conseguem passar pela verificação de assinatura ECDSA, DSA, ML-DSA, Ed25519 e Ed448. Isso ocorre devido à ausência de checagens adequadas de tamanho de hash/digest e OID, afetando mais de 5 bilhões de dispositivos e aplicações. A vulnerabilidade foi corrigida no wolfSSL 5.9.1, lançado em 8 de abril. Equipes que utilizam firmware de fornecedores ou builds empacotados por distribuições devem aguardar comunicados de seus fornecedores, em vez de presumir que a correção upstream já cobre suas instalações.

A RCI Hospitality descobriu em 23 de março que um bug de Insecure Direct Object Reference (IDOR) em um servidor IIS na RCI Internet Services expôs dados de diversos contratados independentes, a partir de 19 de março. Os atacantes acessaram nomes, datas de nascimento, detalhes de contato, números de seguro social e números de carteira de motorista, contudo, sistemas de clientes ou financeiros não foram comprometidos.

O Omnistealer é um novo infostealer que incorpora código de preparação criptografado diretamente em transações nas redes TRON, Aptos e Binance Smart Chain. Ele explora a natureza "append-only" dos livros-razão públicos para criar uma infraestrutura C2 que os defensores não conseguem desativar. Distribuído por meio de ofertas de emprego freelancer falsas no LinkedIn/Upwork que apontam para repositórios GitHub trojanizados, o malware tem como alvo mais de 10 gerenciadores de senhas, mais de 60 carteiras de criptomoedas baseadas em navegador, navegadores principais e credenciais de armazenamento em nuvem. Pesquisadores estimam cerca de 300.000 credenciais comprometidas, abrangendo empresas financeiras, fornecedores de defesa e entidades governamentais dos EUA. As organizações devem aplicar políticas de sandbox para avaliar código de terceiros, bloquear a execução de diretórios graváveis por usuários e monitorar conexões de saída para endpoints RPC de blockchain como um canal C2 emergente.

Pesquisadores concederam ao OpenAI Codex acesso a um shell dentro de um processo do navegador de uma Smart TV Samsung, fornecendo também o código-fonte do firmware KantS2 correspondente e um toolchain controlado. O Codex auditou drivers de kernel Novatek ntk* expostos, utilizou /dev/ntksys como um primitive de physmap validado via /dev/ntkhdma, reconstruiu as faixas de RAM a partir dos boot args, e então localizou e corrigiu as estruturas de cred na memória física para transformar o contexto do navegador em um shell de root na TV em funcionamento.

Andrew Lock aprimora a ferramenta Docker sandbox sbx, demonstrando como incorporar toolchains pré-instaladas em imagens OCI customizadas. Isso elimina reinstalações por sessão e mantém os agentes de IA isolados em microVMs com acesso restrito ao sistema de arquivos e um proxy de rede que injeta credenciais sem expô-las ao agente. Para equipes que necessitam de uma imagem base não padrão, Lock fez engenharia reversa na estrutura da camada docker/sandbox-templates para transplantar a estrutura do sandbox para uma distro arbitrária, exemplificado com uma imagem Debian que corresponde ao ambiente de build do Datadog .NET SDK. O isolamento da instalação do Claude Code em seu próprio estágio de build multi-stage permite atualizações rápidas de versão via --no-cache-filter sem a necessidade de reconstruir a imagem completa.

Um novo proprietário corporativo da desenvolvedora de WordPress Essential Plugin teria adicionado um backdoor a dezenas de plug-ins adquiridos. Esses backdoors foram ativados posteriormente, inserindo código malicioso em sites que os utilizavam. Austin Ginder, da Anchor Hosting, rastreou o ataque de supply chain e publicou uma lista dos plug-ins afetados. Embora o WordPress tenha removido os plug-ins, administradores precisam verificá-los e desinstalá-los manualmente.

A Google está migrando o parser DNS do modem do Pixel 10 de C/C++ para Rust. O objetivo é reduzir bugs de memory-safety em um componente de alto risco e acessível remotamente. A equipe selecionou o crate DNS hickory-proto, adicionou suporte no_std e o integrou via Pigweed e builds diretos do rustc, resolvendo conflitos de tamanho de código, alocador, panic e símbolos. O parser em Rust agora gerencia as respostas DNS, reutilizando estruturas de dados C e callbacks existentes.

O DataBreaches conduziu uma pesquisa com empresas de resposta a incidentes e a comunidade de segurança da informação no LinkedIn para avaliar se grupos de ransomware cumprem seus compromissos de exclusão de dados após o pagamento. Os respondentes indicaram que raramente encontram extorsão repetida ou retenção de dados confirmada pelo mesmo grupo, sugerindo que a maioria honra a natureza transacional do acordo. Contudo, uma exceção notável envolveu um cliente cujos dados foram excluídos da infraestrutura principal controlada pelo atacante, mas permaneceram em intermediários de exfiltração que o ator de ameaça não havia removido.

Duas falhas de injeção de comando no driver Perforce VCS do Composer (CVE-2026-40176, CVE-2026-40261) permitem a execução de comandos arbitrários por meio de configurações composer.json maliciosas ou referências de código-fonte manipuladas, mesmo sem o Perforce instalado.

A versão 4.0.0 do OpenSSL foi lançada, introduzindo recursos como Encrypted Client Hello (RFC 9849), ML-DSA-MU, a curva pós-quântica SM2MLKEM768 e FFDHE negociado no TLS 1.2. Simultaneamente, esta atualização descontinua o suporte para SSLv2/SSLv3, a funcionalidade de engine, curvas EC depreciadas e funções de método de versão TLS fixas.