CEVIU News - CEVIU Segurança da Informação - 27 de maio de 2026

Atacantes com credenciais roubadas ou cookies de sessão abusam do Google Family Link, editando a data de nascimento da vítima para menos de 13 anos e vinculando a conta a um "Parent" controlado pelo atacante. Isso anula a 2FA, o telefone de recuperação e o e-mail de backup, concede ao hacker rastreamento de localização e bloqueio remoto do dispositivo, e não deixa um caminho de recuperação automatizado, exigindo escalada com o YouTube (@TeamYouTube) ou suporte pago do Google One.

Um atacante comprometeu 233 versões em três repositórios Laravel-Lang, incluindo laravel-lang/lang (7.8k estrelas), ao abusar do sistema de versionamento do GitHub para apontar tags para commits em um fork controlado pelo atacante. Isso permitiu o carregamento de código malicioso via autoloader do Composer sem tocar nos repositórios oficiais. O dropper src/helpers.php injetado coleta informações do host, decodifica o domínio C2 flipboxstudio[.]info de um array de inteiros e busca um stealer PHP de aproximadamente 5.900 linhas. Este stealer coleta credenciais de cloud e infraestrutura, chaves SSH, cofres de navegadores e gerenciadores de senhas, carteiras de criptomoedas e tokens de plataformas de comunicação. Após a exfiltração dos dados, que são criptografados com AES-256, o próprio stealer se autoexclui. É recomendável auditar dependências do Composer para as versões afetadas, bloquear flipboxstudio[.]info, procurar por um marcador e artefatos .php/.vbs descartados, e rotacionar quaisquer credenciais expostas em hosts comprometidos.

Autoridades lituanas revelaram um vazamento de dados de mais de 600 mil entradas de registros nacionais, que, segundo elas, foi perpetrado por uma entidade estrangeira. Os dados foram obtidos principalmente de registros de pessoas jurídicas e imóveis, acessados usando credenciais de login de instituições autorizadas. As informações roubadas incluem endereços de oficiais de inteligência, militares, diplomatas e políticos.

A Charter Communications confirmou um vazamento de dados depois que o grupo de ransomware ShinyHunters publicou uma ameaça de extorsão. O ShinyHunters alegou ter obtido acesso à instância do Salesforce da empresa comprometendo uma conta Microsoft Entra de funcionário via vishing. Embora a Charter afirme que nenhuma informação de cliente foi roubada, o ShinyHunters alega ter furtado nomes de clientes, números de telefone, tipos de telefone, informações de plano e algumas informações de rede proprietárias do cliente (CPNI).

Um ator de ameaça desconhecido explorou a CVE-2026-5426 como um zero-day, abusando de valores hardcoded de machineKey do ASP.NET, idênticos em todas as implantações do KnowledgeDeliver LMS anteriores a fevereiro. Isso permitiu forjar ViewState payloads maliciosos e obter RCE (Remote Code Execution) não autenticado. Após a exploração, o ator implantou o webshell BLUEBEAM (Godzilla) em memória dentro do w3wp.exe, usou icacls para conceder acesso total de "Everyone" à raiz web e adulterou um arquivo JavaScript da aplicação para servir um plugin de segurança falso que entregava um Cobalt Strike BEACON específico da organização. Aos defensores, recomenda-se rotacionar as chaves de máquina para valores únicos por instância, restringir o acesso ao LMS por IP e buscar por falhas de ViewState (Application Event ID 1316), processos-filho anômalos do w3wp.exe, adulteração na raiz web, arquivos .js/.aspx/.config e User-Agent strings duplas concatenadas.

Ao analisar 12 CVEs do rsync de janeiro de 2025 e maio de 2026, o autor demonstra que o gokrazy/rsync, uma reimplementação minimalista em Go, evitou oito delas simplesmente por não implementar os recursos vulneráveis (recursão incremental, compressão, suporte a proxy e ACLs de hostname). As defesas estruturais do Go neutralizaram a maioria das restantes: verificações de limites em runtime convertem estouros de heap em panics, a inicialização com zero elimina vazamentos de informação da stack, e a API os.Root, resistente a travessias, fecha as condições de corrida TOCTOU com symlinks, deixando apenas um bug lógico (CVE-2026-43617) que a linguagem não poderia ter prevenido. As lições práticas incluem atualizar para rsync 3.4.3+ ou gokrazy/rsync v0.3.3+, implementar defesa em profundidade via mount namespaces, hardening de systemd ou Landlock, e preferir implementações cuja complexidade seja proporcional ao caso de uso, pois evitar recursos de protocolo desnecessários reduz visivelmente a superfície de ataque.

Marco Lancini detalha a configuração do Renovate para gerar um Pull Request mensal com atualizações de dependências. Ele emprega uma rotina do Claude Code para revisar as atualizações e gerar uma matriz sumária de riscos. A skill utilizada pelo Claude Code e a configuração do Renovate estão disponíveis na postagem.

O ROADtools, um framework Python de código aberto para enumeração do Entra ID e manipulação de token OAuth, evoluiu de uma utilidade para equipes de "red team" para uma plataforma de ataque adotada por atores de estados-nação, como Cloaked Ursa (APT29), Curious Serpens (APT33) e UTA0355. Ele se alinha a táticas MITRE como persistência (T1098.005 registro de dispositivo), evasão de defesa (T1550) e descoberta (T1087). A ferramenta opera inteiramente através de APIs legítimas da Microsoft e strings de user-agent personalizáveis, o que permite que suas atividades se misturem às operações normais da cloud e resistam à detecção baseada em arquivos. A lição mais ampla é o dilema do duplo uso de tooling de identidade: os defensores devem combatê-lo com controles em camadas, como proteção de token do Entra ID, restrições de acesso condicional no fluxo de código do dispositivo, auditorias de aplicativos OAuth e correlação de logs do Graph API em SIEM para identificar acessos baseados em Python roteirizados e enumerações em massa.

A Cybersecurity and Information Security Agency (CISA) anunciou a disponibilidade de um novo formulário de nomeação para permitir que pesquisadores, fornecedores e parceiros relatem vulnerabilidades exploradas conhecidas (KEVs). O objetivo desta atualização é acelerar a capacidade da CISA de identificar e agir sobre novas KEVs. Esta iniciativa surge após o anúncio do NIST sobre mudanças em seu programa NVD.

Pesquisadores da Aikido Security descobriram que a exclusão de chaves de API do Google é eventualmente consistente e pode levar até 23 minutos para propagar totalmente. As chaves de API do Gemini e as chaves de Contas de Serviço do Google propagaram em um minuto e 5 segundos, respectivamente. O Google inicialmente fechou o relatório do bug como "não será corrigido", mas o reabriu como P0 após a publicação das descobertas.

O Microsoft Copilot Cowork permite que agentes enviem e-mails não aprovados para a caixa de entrada de um usuário que renderizam imagens externas. Uma técnica de prompt injection poderia, portanto, exfiltrar dados e vazar links de download pré-autenticados do OneDrive para um atacante quando a vítima abre a mensagem.

Atacantes compraram links patrocinados no Google, cloaked, que se passavam pela Uniswap para direcionar usuários a interfaces de negociação clonadas. Essas interfaces enganam as vítimas a assinar permissões maliciosas de wallet, drenando pelo menos US$ 400.000. Esta campanha está ligada a um aumento mais amplo de malvertising, com mais de 356 links de anúncios maliciosos e US$ 1,27 milhão em perdas desde março.