CEVIU News - CEVIU Segurança da Informação - 16 de junho de 2026

O grupo de ransomware ShinyHunters divulgou ter comprometido sistemas do Conselho da Europa, principal organização continental de direitos humanos. Segundo a ameaça, foram exfiltrados mais de 429 mil arquivos, incluindo dados de folha de pagamento, currículos, contratos, registros de compras, relatórios de ausência e atestados médicos. A organização ainda não confirmou publicamente o incidente, mas investiga a suposta violação. O caso reforça riscos crescentes contra instituições multilaterais e a urgência de fortalecer controles de acesso e proteção de dados pessoais em ambientes governamentais.

Pesquisadores da Varonis identificaram uma cadeia de três bugs no Microsoft 365 Copilot Enterprise Search que, explorados em conjunto, permitiam exfiltrar dados sensíveis, como e-mails, calendários, SharePoint e OneDrive, com um único link malicioso. O parâmetro 'q' na URL era interpretado como instrução executável, e a injeção de uma tag <img> forçava uma requisição ao Bing com os dados incorporados na URL. A Microsoft corrigiu a vulnerabilidade sob o CVE-2026-42824, destacando riscos reais de exfiltração em ferramentas de busca baseadas em IA.

O Google incorporou a verificação por gestos de mão ao reCAPTCHA, integrando-a ao Cloud Fraud Defense. O desafio exige que o usuário realize movimentos com as mãos diante da câmera, gerando 21 coordenadas articulares para validar presença humana. Segundo o Google, os vídeos não têm áudio, não são vinculados a identidades, são apagados imediatamente após a validação e não são compartilhados com terceiros. A mudança reforça a detecção de bots por sinais biométricos visuais, mas exige avaliação crítica por equipes de segurança sobre permissões de câmera e conformidade com políticas de privacidade.

O grupo de ransomware ShinyHunters roubou e vazou dados de 137 mil contas de funcionários escolares vinculadas a uma instância Salesforce da InfiniteCampus. O Have I Been Pwned confirmou a exposição de nomes, e-mails, cargos, números de telefone, endereços físicos, nomes de usuário e tickets de suporte. A InfiniteCampus afirmou que boa parte dessas informações já era pública em diretórios escolares, mas o vazamento amplifica riscos de engenharia social e ataques direcionados contra instituições de ensino.

Uma cadeia de vulnerabilidades no proxy LiteLLM permite que usuários internos comuns gerem chaves de API com privilégios elevados, escalem para administrador do proxy e executem código Python arbitrário, assumindo controle total do servidor. Atacantes conseguem extrair chaves de provedores de IA, descriptografar credenciais armazenadas e interceptar prompts, respostas e dados confidenciais em trânsito. Via callback hooks, é possível alterar respostas de agentes silenciosamente ou implantar reverse shells. A correção exige atualização imediata para v1.83.14-stable ou superior, além de auditoria rigorosa de callbacks, permissões e rotação de todos os segredos expostos.

Após o ataque via cadeia de suprimentos no VS Code, muitas organizações descobrem que bloquear apenas o marketplace.visualstudio.com é insuficiente: atacantes contornam essa restrição reconstruindo manualmente URLs da CDN que hospeda as extensões. Pior: proibir instalações pela interface não impede que agentes maliciosos copiem arquivos diretamente para o diretório .vscode/extensions, burlando totalmente o controle. A defesa exige políticas mais robustas, como validação de assinatura, sandboxing e monitoramento de alterações no diretório de extensões.

Um ataque de phishing que se passou pela Bithumb infectou a máquina de um diretor com malware de acesso remoto, extraindo chaves privadas usadas em operações on-chain. Com elas, o invasor substituiu um proxy de smart contract na Ethereum, desviando 141,18 milhões de tokens H, e usou chaves de signatários da BSC para cunhar mais 100 milhões, liquidados via Uniswap e PancakeSwap. O token H despencou 89%. O caso reforça que auditorias não mitigam riscos de uso de dispositivos pessoais para chaves administrativas: soluções como HSM, multisig geograficamente distribuído e isolamento total de chaves da internet são essenciais.

Pesquisadores da Sygnia identificaram que o grupo APT chinês Velvet Ant manteve acesso contínuo a uma rede de infraestrutura crítica por uma década. A intrusão começou com a exploração de um servidor exposto à internet, seguida pela implantação de uma versão modificada do GS-Netcat para reverse shell e configuração de proxy SOCKS5, permitindo acesso a sistemas isolados (air-gapped). Eles também adulteraram um proxy Nginx para redirecionar tráfego SSH via requisições HTTP POST. A recuperação foi dificultada pela substituição de ferramentas legítimas, como pam_unix e utilitários SSH, por versões trojanizadas.

A Mackay Sugar, segunda maior produtora de açúcar da Austrália, teve várias usinas paralisadas por um ataque de ransomware. O incidente afetou o fornecimento de cana-de-açúcar e sistemas logísticos críticos. A empresa retomou operações manuais limitadas em uma unidade e está testando sistemas a vapor, com previsão de retomada gradual ainda esta semana. O grupo The Gentlemen reivindicou o ataque via site na rede Tor, mas até agora não houve vazamento público de dados. O estado dos sistemas de tecnologia operacional (OT) segue sem confirmação oficial.

Ben Thompson analisa como as políticas de safety da Anthropic servem, na prática, a objetivos estratégicos e comerciais. O lançamento do Fable, versão com restrições do modelo potencialmente perigoso Mythos Preview, e sua subsequente degradação silenciosa para tarefas de desenvolvimento de LLMs frontier ilustram essa tendência. A suspensão pelo governo dos EUA do acesso de estrangeiros ao Fable 5 e Mythos 5 após um jailbreak, somada à reversão da política de zero-retention, agora aplicável até a planos corporativos, reforça que decisões técnicas de segurança estão alinhadas a interesses empresariais, não apenas a princípios éticos ou regulatórios.

Pesquisadores da Varonis descobriram a vulnerabilidade crítica SearchLeak (CVE-2026-42824), que combina injection de parâmetro para prompt, condição de corrida na renderização HTML e bypass de CSP via SSRF no Bing. Com ela, uma URL maliciosa podia forçar o Microsoft 365 Copilot Enterprise Search a acessar e exfiltrar dados de OneDrive, SharePoint e caixas de correio, tudo via requisição de imagem no Bing. A Microsoft já corrigiu a falha silenciosamente, sem necessidade de intervenção dos usuários.

Na Operação Riptide, o FBI e o Google desmantelaram a Outsider Enterprise, serviço de phishing-as-a-service baseado na China, ativo desde 2023. A operação derrubou mais de 9.000 sites em 55 países, responsáveis por roubar cerca de 3,8 milhões de números de cartões de crédito e causar prejuízos estimados em US$ 1,9 bilhão. Autoridades apreenderam domínios de servidores administrativos, uma loja na Shopify e aproximadamente US$ 100 mil em criptomoedas.

Um homem de 32 anos foi indiciado em Nancy, na França, por envolvimento em um ataque físico contra um casal, três suspeitos se passaram por policiais, agrediram as vítimas e roubaram US$ 20 mil em criptoativos. O crime está ligado ao vazamento de janeiro na plataforma Waltio, que expôs e-mails, saldos e histórico de negociações de cerca de 50 mil usuários, permitindo que os criminosos identificassem e localizassem alvos em seus endereços reais.