CEVIU News - CEVIU Segurança da Informação - 1 de junho de 2026

Pesquisadores da Cyderes identificaram uma campanha de ClickFix com SEO envenenado para o termo 'claude code install', redirecionando vítimas a páginas falsas da Anthropic. O ataque leva o usuário a executar um comando via mshta.exe que carrega um arquivo poliglota MP3/HTA. O script aciona um processo PowerShell 32 bits, realiza bypass do AMSI e injeta um infostealer .NET direto na memória, exfiltrando credenciais do navegador para servidores na Rússia. Recomenda-se bloquear *.oakenfjrod[.]ru e monitorar execuções de mshta.exe que disparem conexões de rede ou PowerShell.

Atacantes estão explorando a CVE-2026-35616, falha de controle de acesso não autenticado nas versões 7.4.5 e 7.4.6 do FortiClient EMS, para manipular configurações de VPN e forçar o fortitray.exe a executar scripts batch maliciosos via túnel IPsec. Os scripts rodam comandos PowerShell em base64 que baixam o infostealer EKZ — disfarçado de patch Fortinet — capaz de roubar credenciais, cookies e dados financeiros de navegadores, exfiltrando tudo para servidor externo e apagando rastros. Equipes de segurança devem aplicar os hotfixes de abril, monitorar logs com a sequência 'Certificate not found in request header' e auditar logins administrativos vindos de redes Tor ou VPS.

Pesquisadores identificaram uma vulnerabilidade de escalonamento de privilégio local no Linux que permite forjar descrições de chaves de autenticação CIFS e explorar o mecanismo de solicitação de chaves do kernel para obter acesso root. O problema ocorre porque o subsistema CIFS não verifica se requisições cifs.spnego partem do próprio cliente CIFS do kernel. Entre as distribuições vulneráveis por padrão estão Linux Mint 21.3 e 22.3, CentOS Stream 9, Rocky Linux 9, Alma Linux 9, Kali Linux 2021.4–2026.1 e SLES 15 SP7.

Um pesquisador reproduziu o provável vetor de ataque usado na interceptação TLS do jabber.ru em 2023. A técnica combina a falha de command-injection CVE-2023-38198 no acme.sh com controle de roteamento para um ataque MitM via certificado fraudulento. Um token http-01 injeta um stager Python em base64, gerando uma reverse shell privilegiada quando o acme.sh contata uma CA controlada pelo atacante — deixando rastros mínimos no sistema.

Pesquisadores publicaram o LLMReaper, uma prova de conceito de extensão Chrome (Manifest V3) que usa MutationObserver para capturar conversas em tempo real no ChatGPT, Claude e Gemini diretamente do DOM. Os dados, incluindo usuário, títulos de chat e conteúdo completo, são enviados via service worker a um backend FastAPI que extrai automaticamente chaves de API da OpenAI, AWS, segredos Stripe, JWTs e URLs de bancos de dados. O ataque contorna a Same Origin Policy sem permissões extras. Equipes de segurança devem auditar extensões instaladas, tratar chats de IA como canais não criptografados e mapear o risco às técnicas MITRE T1056.003, T1041 e T1555.003.

Ferramentas de KYC (Know Your Customer), criadas para prevenir sequestro de contas e phishing, estão sendo contornadas por fraudadores via canais do Telegram. O número de soluções ilícitas que permitem burlar essas verificações — ou explorar dados biométricos roubados — cresce rapidamente. Enquanto os sistemas de KYC evoluem para bloquear as brechas, criminosos financeiramente motivados refinam seus métodos de evasão, perpetuando um constante jogo de gato e rato entre fraude e segurança.

A polícia holandesa e o Centro Nacional de Cibersegurança desmantelaram uma botnet com mais de 17 milhões de dispositivos, controlada por 200 servidores hospedados na Holanda e supostamente vinculada ao provedor de proxy residencial ASOCKS, de origem russa. Os servidores foram apreendidos e investigadores identificaram conexões com o Proxylib, esquema em que apps maliciosos inscreviam silenciosamente celulares e roteadores em uma rede comercial de proxy.

Uma falha com pontuação 9.4 no Gogs permite que usuários autenticados executem comandos arbitrários via injeção de argumentos na função Merge(), quando a opção 'Rebase before merging' está ativa. O problema afeta Windows, Linux e macOS. O pesquisador Jonah Burgess, da Rapid7, divulgou a vulnerabilidade em março e publicou um módulo de exploração para o Metasploit. Sem patch disponível, a recomendação é restringir o registro de novos usuários, a criação de repositórios e as configurações de rebase.

O grupo hacker ShinyHunters tornou públicos dados roubados da Charter Communications depois que a tentativa de extorsão à empresa não teve o resultado esperado. O vazamento afeta potencialmente 5 milhões de clientes da operadora americana. O coletivo é conhecido por ataques de alto impacto e pela prática de leiloar ou vazar dados quando as vítimas se recusam a pagar o resgate exigido.

O mecanismo de renderização de resumos do ChatGPT pode ser explorado por atacantes via links Markdown e URLs de imagens de páginas processadas. A falha, batizada de ChatGPhish, permite disparar requisições que expõem IP, User-Agent e Referer da vítima, além de exibir links de phishing, alertas falsos de segurança e QR codes maliciosos diretamente na interface do assistente.

A Obsidian Security divulgou detalhes técnicos e um PoC para a CVE-2026-40933, vulnerabilidade de execução remota de código com CVSS 9.9 no adaptador MCP do Flowise. A falha explora serialização insegura de comandos stdio para acionar execução de código a nível de SO durante a importação — frequentemente com privilégios de root em ambientes conteinerizados auto-hospedados.