CEVIU News - CEVIU Segurança da Informação - 27 de abril de 2026

A NoxHunt, partindo da investigação de ZachXBT de 8 de abril sobre o hub de pagamentos luckyguys[.]site, conseguiu obter logs de infostealer de dois dispositivos de trabalhadores de TI da RPDC via STEALINT. Essa análise revelou as táticas por trás de um sofisticado ecossistema de freelancers fraudulentos. Os dois operadores identificados, "SuperDev" e "DevWisdom", utilizavam instalações coreanas do Windows protegidas por Astrill VPN, com nós de saída localizados nos EUA e no Japão, para disfarçar suas operações. Para o trabalho remoto, empregavam ferramentas como DeskIn e AnyDesk. Ambos mantinham múltiplos portfólios falsos no GitHub, repletos de repositórios em diversas linguagens, e faziam uso de copilotos de entrevista de IA como jobright.ai e ntro.io. Seus alvos eram principalmente clientes do Oriente Médio, incluindo marcas falsas de academias sauditas ligadas à persona Memvera/Shijazi88. Para defesa, é crucial que os profissionais de segurança fiquem atentos a faixas de IP da Astrill VPN, combinações de uso de DeskIn/AnyDesk, contas falsas recentes no GitHub com linguagens variadas e repositórios reciclados, além de provedores de números virtuais em registros de plataformas freelance.

A FCC adicionou todos os roteadores de consumo produzidos no exterior (incluindo gateways residenciais de ISPs e CPE LTE/5G) à sua Lista Coberta em 23 de março. Esta decisão seguiu uma Determinação de Segurança Nacional interinstitucional da Casa Branca, bloqueando novas autorizações de equipamentos e a importação ou venda nos EUA, a menos que o DoW ou o DHS concedam uma Aprovação Condicional. Dispositivos previamente autorizados e o uso por consumidores não foram afetados.

O Have I Been Pwned sinalizou 7,5 milhões de endereços de e-mail do programa de fidelidade Mariner Society da Holland America Line. O grupo ShinyHunters publicou os dados após o fracasso das negociações de resgate, alegando possuir terabytes de dados corporativos da gigante de cruzeiros. A Carnival afirma que um ataque de phishing afetou uma única conta de usuário, mas a extensão da violação permanece incerta. Entre os dados expostos estão nomes, datas de nascimento e detalhes de filiação.

O Citizen Lab mapeou pela primeira vez a telemetria de ataques SS7 e Diameter em tempo real para identificadores específicos de operadoras, expondo duas campanhas de vigilância secreta de longa duração (STA1 e STA2). Essas campanhas exploraram o ecossistema global de interconexão de telecomunicações para rastrear alvos de alto valor através de fronteiras. A STA1 alternou entre protocolos 3G e 4G, utilizando identidades de sinalização legítimas da Tango Networks UK, 019Mobile Israel, e infraestrutura em nove países para evadir firewalls, enquanto a STA2 implementou um exploit SIMjacker zero-click via SMS binário, vinculado à fornecedora de vigilância comercial suíça Fink Telecom Services, com mais de 15.700 tentativas de rastreamento desde outubro de 2022. As descobertas expõem falhas sistêmicas de governança em todo o ecossistema de interconexão, onde modelos de confiança peer-to-peer legados, triagem IPX fraca e o leasing não regulamentado de Global Titles permitem que CSVs operem como "operadoras fantasmas" dentro de redes móveis por anos sem detecção.

A CrowdStrike corrigiu a CVE-2026-40050, uma falha crítica de path-traversal não autenticada em um API endpoint de cluster LogScale self-hosted. Esta vulnerabilidade permitia a atacantes remotos ler arquivos arbitrários do sistema de arquivos do servidor, potencialmente expondo arquivos de configuração, credenciais e dados internos. Descoberta através de testes internos do produto, sem exploração observada, a falha não afeta clientes do Next-Gen SIEM e foi mitigada para usuários SaaS em 7 de abril, por meio de controles na camada de rede aplicados em todos os clusters. É imperativo que operadores de LogScale self-hosted atualizem para a versão corrigida imediatamente. O comprometimento de uma plataforma de gerenciamento de logs, que é central para as operações de SOC, poderia permitir que atacantes desativassem alertas, ocultassem logs e realizassem movimentação lateral dentro da rede sem serem detectados.

A UNC6692 executou uma intrusão em fases, começando com pesado spam por e-mail e phishing via Microsoft Teams, atraindo as vítimas a instalar uma falsa "Mailbox Repair Utility". Esta utilidade era entregue através de uma página de destino maliciosa, exclusiva para Edge, que coletava credenciais e deixava loaders baseados em AutoHotKey. A operação instalou a extensão de navegador SNOWBELT, além dos componentes Python SNOWGLAZE e SNOWBASIN, para manter um túnel WebSocket, executar um bindshell local, mover-se lateralmente com PsExec e RDP, e exfiltrar dados através de infraestrutura C2 hospedada em S3 e Heroku. Todas essas ações foram mapeadas para IOCs concretos e técnicas ATT&CK, fornecendo informações valiosas para defensores.

Foram escaneados 4.783 aplicativos assistidos por IA, revelando 727 vulnerabilidades críticas e mais de 5.000 de alta gravidade. Desses, 7% dos aplicativos Lovable e Bolt expunham publicamente bancos de dados Supabase, enquanto um grupo de controle YC não apresentou nenhuma exposição. Diversos sistemas em produção vazaram dados reais, incluindo faturamento e agendamentos de terapia, históricos completos de reservas com logs de chat, prontuários de pacientes acessíveis por simples mudanças de ID, tabelas de CRM via chaves anônimas públicas e dados de matrículas universitárias. A maioria das vulnerabilidades críticas decorreu do Supabase RLS desativado, seguido por chaves de API expostas no cliente, IDOR, endpoints OpenAPI não autenticados e código escrito por IA que fazia referência a verificações de segurança inexistentes.

O Fast16 é um malware baseado em Lua, de 2005, que antecede o Stuxnet em cinco anos. Ele mira em softwares de cálculo de alta precisão, como LS-DYNA, PKPM e MOHID, para injetar erros sistemáticos em simulações de engenharia e física. O malware se propaga através de credenciais fracas e evita sistemas com software antivírus instalado. Ligações forenses o associam a ferramentas da NSA vazadas pelos The Shadow Brokers.

Um pacote npm malicioso, o @bitwarden/cli@2026.4.0, foi baixado por 334 usuários entre 17h57 e 19h30 ET de 22 de abril. Este incidente foi contido em 93 minutos após o comprometimento mais amplo da cadeia de suprimentos da Checkmarx. A propagação ocorreu através de uma extensão maliciosa da Checkmarx para VSCode na estação de trabalho de um engenheiro da Bitwarden, e não por uma dependência de CI/CD. O script de pré-instalação do pacote ativou o roubo de credenciais apenas durante a instalação, subtraindo tokens, chaves SSH e segredos de ambiente. No entanto, análises confirmaram que os dados do vault não foram comprometidos. Em resposta, a Bitwarden emitiu um CVE, depreciou o pacote afetado, lançou a versão 2026.4.1 e orientou os usuários impactados a rotacionar segredos expostos, auditar fluxos de trabalho do GitHub e credenciais de CI, além de limpar caches npm com scripts de instalação desabilitados durante a remediação.

A OpenAI anunciou um novo programa de bug bounty Bio para o seu modelo GPT-5.5. O programa é um desafio específico para encontrar um jailbreak universal capaz de fazer o modelo responder aos 5 problemas-desafio preparados pela OpenAI. O desafio é somente por convite ou inscrição e aplica-se apenas ao modelo em execução no Codex Desktop.

A Casa Branca divulgou um memorando acusando “entidades estrangeiras, principalmente com base na China”, de roubar modelos de IA via distillation.

O X lançou um aplicativo XChat dedicado para iOS, comercializado como criptografado de ponta a ponta. No entanto, a análise de tráfego da Mysk revelou que todos os "realms" do protocolo Juicebox hospedados sob domínios x.com não possuíam certificate pinning, o que permitiria ao X reconstruir chaves privadas protegidas apenas por um PIN de quatro dígitos.