CEVIU Logo
CEVIU News

CEVIU News - CEVIU Segurança da Informação - 1 de junho de 2026

11 notícias1 de junho de 2026CEVIU Segurança da Informação
Compartilhar:

🎭 CEVIU Segurança da Informação

Pesquisadores da Cyderes identificaram uma campanha de ClickFix com SEO envenenado para o termo 'claude code install', redirecionando vítimas a páginas falsas da Anthropic. O ataque leva o usuário a executar um comando via mshta.exe que carrega um arquivo poliglota MP3/HTA. O script aciona um processo PowerShell 32 bits, realiza bypass do AMSI e injeta um infostealer .NET direto na memória, exfiltrando credenciais do navegador para servidores na Rússia. Recomenda-se bloquear *.oakenfjrod[.]ru e monitorar execuções de mshta.exe que disparem conexões de rede ou PowerShell.

Atacantes estão explorando a CVE-2026-35616, falha de controle de acesso não autenticado nas versões 7.4.5 e 7.4.6 do FortiClient EMS, para manipular configurações de VPN e forçar o fortitray.exe a executar scripts batch maliciosos via túnel IPsec. Os scripts rodam comandos PowerShell em base64 que baixam o infostealer EKZ, disfarçado de patch Fortinet, capaz de roubar credenciais, cookies e dados financeiros de navegadores, exfiltrando tudo para servidor externo e apagando rastros. Equipes de segurança devem aplicar os hotfixes de abril, monitorar logs com a sequência 'Certificate not found in request header' e auditar logins administrativos vindos de redes Tor ou VPS.

Pesquisadores identificaram uma vulnerabilidade de escalonamento de privilégio local no Linux que permite forjar descrições de chaves de autenticação CIFS e explorar o mecanismo de solicitação de chaves do kernel para obter acesso root. O problema ocorre porque o subsistema CIFS não verifica se requisições cifs.spnego partem do próprio cliente CIFS do kernel. Entre as distribuições vulneráveis por padrão estão Linux Mint 21.3 e 22.3, CentOS Stream 9, Rocky Linux 9, Alma Linux 9, Kali Linux 2021.4–2026.1 e SLES 15 SP7.

Um pesquisador reproduziu o provável vetor de ataque usado na interceptação TLS do jabber.ru em 2023. A técnica combina a falha de command-injection CVE-2023-38198 no acme.sh com controle de roteamento para um ataque MitM via certificado fraudulento. Um token http-01 injeta um stager Python em base64, gerando uma reverse shell privilegiada quando o acme.sh contata uma CA controlada pelo atacante, deixando rastros mínimos no sistema.

Pesquisadores publicaram o LLMReaper, uma prova de conceito de extensão Chrome (Manifest V3) que usa MutationObserver para capturar conversas em tempo real no ChatGPT, Claude e Gemini diretamente do DOM. Os dados, incluindo usuário, títulos de chat e conteúdo completo, são enviados via service worker a um backend FastAPI que extrai automaticamente chaves de API da OpenAI, AWS, segredos Stripe, JWTs e URLs de bancos de dados. O ataque contorna a Same Origin Policy sem permissões extras. Equipes de segurança devem auditar extensões instaladas, tratar chats de IA como canais não criptografados e mapear o risco às técnicas MITRE T1056.003, T1041 e T1555.003.

Ferramentas de KYC (Know Your Customer), criadas para prevenir sequestro de contas e phishing, estão sendo contornadas por fraudadores via canais do Telegram. O número de soluções ilícitas que permitem burlar essas verificações, ou explorar dados biométricos roubados, cresce rapidamente. Enquanto os sistemas de KYC evoluem para bloquear as brechas, criminosos financeiramente motivados refinam seus métodos de evasão, perpetuando um constante jogo de gato e rato entre fraude e segurança.

A polícia holandesa e o Centro Nacional de Cibersegurança desmantelaram uma botnet com mais de 17 milhões de dispositivos, controlada por 200 servidores hospedados na Holanda e supostamente vinculada ao provedor de proxy residencial ASOCKS, de origem russa. Os servidores foram apreendidos e investigadores identificaram conexões com o Proxylib, esquema em que apps maliciosos inscreviam silenciosamente celulares e roteadores em uma rede comercial de proxy.

Uma falha com pontuação 9.4 no Gogs permite que usuários autenticados executem comandos arbitrários via injeção de argumentos na função Merge(), quando a opção 'Rebase before merging' está ativa. O problema afeta Windows, Linux e macOS. O pesquisador Jonah Burgess, da Rapid7, divulgou a vulnerabilidade em março e publicou um módulo de exploração para o Metasploit. Sem patch disponível, a recomendação é restringir o registro de novos usuários, a criação de repositórios e as configurações de rebase.

O grupo hacker ShinyHunters tornou públicos dados roubados da Charter Communications depois que a tentativa de extorsão à empresa não teve o resultado esperado. O vazamento afeta potencialmente 5 milhões de clientes da operadora americana. O coletivo é conhecido por ataques de alto impacto e pela prática de leiloar ou vazar dados quando as vítimas se recusam a pagar o resgate exigido.

O mecanismo de renderização de resumos do ChatGPT pode ser explorado por atacantes via links Markdown e URLs de imagens de páginas processadas. A falha, batizada de ChatGPhish, permite disparar requisições que expõem IP, User-Agent e Referer da vítima, além de exibir links de phishing, alertas falsos de segurança e QR codes maliciosos diretamente na interface do assistente.

A Obsidian Security divulgou detalhes técnicos e um PoC para a CVE-2026-40933, vulnerabilidade de execução remota de código com CVSS 9.9 no adaptador MCP do Flowise. A falha explora serialização insegura de comandos stdio para acionar execução de código a nível de SO durante a importação, frequentemente com privilégios de root em ambientes conteinerizados auto-hospedados.

Receba as melhores notícias de tech

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
CEVIU News - CEVIU Segurança da Informação - 1 de junho de 2026 | CEVIU