CEVIU News - CEVIU Segurança da Informação - 22 de maio de 2026

Um ataque ocorrido em 2021 na rede social paródia Myspace93 expôs mais de 46.000 nomes de usuário, senhas em texto puro, endereços de e-mail e IPs. A violação ocorreu após um aplicativo beta, compartilhado com membros confiáveis do Discord, ter sido explorado para extrair arquivos do servidor e um armazenamento de credenciais não criptografado. Desde então, o site encerrou suas funcionalidades de registro e sociais, e os usuários são aconselhados a parar de reutilizar senhas e habilitar 2FA.

O esquema Trapdoor utilizou aplicativos Android de utilidade como iscas iniciais, depois empurrou aplicativos de segunda fase que abriam WebViews ocultas para acessar domínios HTML5 de cashout e solicitar anúncios em escala. A fraude abusou de ferramentas de atribuição de instalação para ser ativada apenas em instalações geradas por anúncios, atingindo um pico de 659 milhões de requisições diárias de lances em 455 aplicativos. Isso levou o Google a remover todos os apps identificados da Play Store.

Uma campanha automatizada inseriu 5.718 commits maliciosos em 5.561 repositórios GitHub em seis horas. A ação injetou workflows de GitHub Actions com payloads bash codificados em base64 que exfiltram segredos de CI, credenciais de cloud, chaves SSH e tokens OIDC para um C2 em [216.126.225.129]:8443. A variante visada substitui workflows existentes por triggers workflow_dispatch e permissões id-token: write, criando backdoors dormentes que não produzem execuções de CI visíveis e podem ser ativadas sob demanda, uma vez que o atacante obtenha um GITHUB_TOKEN, com o comprometimento se estendendo ao npm via publicações envenenadas de @tiledesk/tiledesk-server versões 2.18.6 a 2.18.12. Para defensores, é crucial reverter quaisquer commits de 18 de maio de build-system@noreply.dev ou ci-bot@automated.dev, auditar arquivos de workflow, rotacionar todos os segredos expostos a Actions runners e revisar logs de auditoria da cloud para requisições de tokens OIDC de execuções de workflow desconhecidas.

O envenenamento de cache do GitHub Actions permite que atacantes injetem dependências maliciosas em caches, que são executados posteriormente em workflows de publicação com altos privilégios, como visto nos incidentes envolvendo Angular, tj-actions, Cline e TanStack. Os atacantes conseguem que um workflow privilegiado grave uma entrada de cache maliciosa diretamente ou expulsem e substituam entradas legítimas usando ferramentas como o Cacheract. Recomenda-se auditar tudo relacionado a pull requests, desativar ou isolar caches em jobs de release, fixar actions a SHAs, controlar edições de workflows com CODEOWNERS, impor 2FA que não seja via SMS, habilitar cooldowns de instalação e tratar as configurações de agentes de IA como código executável. Caso um pacote comprometido já tenha sido executado, remova o watcher gh-token-monitor no Linux e macOS antes de rotacionar quaisquer credenciais, então reimagine os hosts afetados e rotacione todos os segredos que essas máquinas possam acessar.

Durante uma auditoria do LogoFail, a NetSPI descobriu um buffer over-read no módulo UEFI PngDecoderDxe. Embora o decoder valide o tamanho total da alocação em relação a 0x7fffffff, ele não realiza verificações de limites para leituras de dados comprimidos. Ao falsificar o comprimento do chunk IDAT de um PNG para 0x90000000, o loop do descompressor tenta ler além do buffer de entrada (em 0x9000000), acessando memória pré-OS adjacente que contém chaves criptográficas e código assembly. A NetSPI demonstrou o over-read usando um Qiling harness com chamadas AllocatePool/FreePool hookadas e regiões de heap espaçadas em 0x10000000 para observar claramente a falha UC_MEM_READ_UNMAPPED. Dados vazados poderiam ser exfiltrados via HDMI/VGA a partir do display de boot. Recomenda-se que defensores auditem parsers de imagem UEFI em busca de falta de checks de limites de leitura, independentemente das proteções de tamanho de alocação, e apliquem a técnica do Qiling harness para fuzzing em outros módulos de manipulação de imagem de firmware.

O CrystalX, um RAT MaaS (Malware-as-a-Service) relatado pela primeira vez pela Kaspersky em março, esconde um payload Go de 6.9 MB dentro de um loader compacto do Windows, utilizando três transformações sequenciais: XOR dependente de posição, ChaCha20 e, em seguida, DEFLATE puro. O payload descompactado adiciona uma quarta camada de criptografia AES-GCM sobre todas as strings em runtime. Uma vez decifrado, o RAT estabelece um C2 de WebSocket sobre TLS para crystalxrat[.]net, autenticando-se por meio de um token de builder hardcoded, e suporta mais de 40 comandos que incluem desktop remoto, streaming de webcam, keylogging, roubo de credenciais de navegadores e aplicativos de mensagens (Discord, Telegram e Steam), e opções destrutivas como BSOD e rotação de tela. Defensores devem procurar por artefatos de persistência com ID de build (NvContainerTask_YBFZUW1U32, SecurityHealthSystray.exe em DeviceMetadataStore, Global\WinSecMutex_YBFZUW1U32) e aplicar a regra YARA publicada que visa a chave ChaCha20 do loader e o padrão de transformação XOR.

A Apple reportou a rejeição de mais de 2 milhões de submissões à App Store em 2025, bloqueando 1,1 milhão de criações de contas fraudulentas e impedindo mais de 2,2 bilhões de dólares em transações suspeitas, além de 5,4 milhões de cartões de crédito roubados. A empresa desativou 40,4 milhões de contas de usuários, encerrou 193.000 contas de desenvolvedores e bloqueou 28.000 aplicativos piratas ou maliciosos, utilizando IA combinada com revisão humana para identificar táticas como "bait-and-switch", recursos ocultos e aplicativos clonados.

Uma pesquisa do ISC2 com 16.029 profissionais de segurança revelou que a IA é vista simultaneamente como a maior ajuda e o maior risco para a defesa cibernética, especialmente em relação a phishing, deepfakes e engenharia social. Muitas equipes já estão testando ou utilizando IA em seus fluxos de trabalho, reportando análises mais rápidas e maior produtividade. Os entrevistados preveem mais empregos, com a IA assumindo tarefas de baixo valor e valorizando habilidades de comunicação e decisão.

Jacob Butler, conhecido como "Dort", de 23 anos, foi preso em Ottawa sob mandado de extradição dos EUA por operar a botnet IoT Kimwolf, que visava dispositivos com firewall (como porta-retratos digitais e webcams). A botnet emitiu mais de 25.000 comandos de ataque, incluindo ataques DDoS que atingiram 30 Tbps (um volume recorde) e visaram o Departamento de Defesa dos EUA, causando perdas superiores a US$ 1 milhão por vítima. Butler também orquestrou ataques de "swatting" contra o fundador da Synthient, Ben Brundage, em retaliação pela divulgação da vulnerabilidade crítica de IoT explorada pelo Kimwolf. Ele enfrenta 10 anos de prisão federal nos EUA, além de acusações simultâneas no Canadá (uso não autorizado de computador e dano a dados de computador). As autoridades apreenderam a infraestrutura do Kimwolf em 19 de março, juntamente com três botnets concorrentes (Aisuru, JackSkid e Mossad), e em abril apreenderam domínios de quase 50 serviços de DDoS-for-hire, incluindo pelo menos um colaborador do Kimwolf.

A senadora Maggie Hassan solicitou um briefing confidencial depois que um funcionário terceirizado da Nightwing carregou acidentalmente 844 MB de dados da CISA em um repositório público do GitHub em 14 de maio, expondo senhas em texto puro, tokens AWS e certificados SAML do Entra ID.

A Flipper Devices abriu o desenvolvimento do Flipper One, uma plataforma modular ARM Linux. Ela combina um SoC Rockchip RK3576 (8GB RAM, 6 TOPS NPU) com um MCU RP2350 e suporta expansão M.2, PCIe, USB 3.1, SDR e 5G/satélite, convidando colaboradores da comunidade.

O número de vulnerabilidades do Chrome relatadas pela Google saltou de algumas poucas no final de março para 16 em 15 de abril, 21 em 28 de abril, e 100 no aviso de 5 de maio.