CEVIU News - CEVIU Segurança da Informação - 26 de junho de 2026

Um fornecedor terceirizado comprometido permitiu que invasores injetassem um script malicioso no frontend da Polymarket para alguns usuários. A ação resultou em um dreno de fundos via phishing que roubou cerca de US$ 3 milhões de pelo menos 11 carteiras que mantinham PUSD, com os ativos roubados sendo convertidos em ETH e enviados para um único endereço. A Polymarket removeu a dependência comprometida, conteve o problema e declarou que fará o reembolso total para os usuários afetados.

A Klue informou estar em contato com o grupo de hackers Icarus e acredita que os criminosos estão deletando os dados de clientes roubados na violação de segurança do dia 12 de junho, que afetou pelo menos 11 clientes focados em segurança. No entanto, um segundo grupo, ainda não identificado, afirma ter copiado essas informações diretamente de um servidor de um operador do Icarus, listando 195 clientes afetados e tentando extorqui-los diretamente. Diante da situação, a Klue está orientando seus clientes a verificarem qualquer alegação por meio de amostras aleatórias de dados e recomenda fortemente que não realizem nenhum pagamento a esse segundo grupo.

Pesquisadores da SentinelOne descobriram um novo malware para macOS, apelidado de GasLight, que inclui strings de prompt injection incorporadas para enganar ferramentas de análise de IA. O malware possui um payload de 3,5 KB que contém 38 mensagens de sistema falsas alertando sobre problemas como falta de memória, expiração de token e esgotamento de disco, tudo para induzir as ferramentas de IA a interromperem a análise do binário. O malware em si atua como um infostealer e backdoor.

O NIST está buscando comentários públicos sobre o rascunho inicial da Revisão 1 da SP 800-213, que estabelece requisitos de cibersegurança para produtos de IoT de uso federal e os alinha aos frameworks de controle e risco existentes do NIST. O texto altera o foco de dispositivos isolados para produtos de IoT completos, solicitando que os revisores validem a terminologia, o escopo e o nível de suporte que a orientação oferece às práticas atuais de avaliação de riscos.

O relatório anual de ameaças a PMEs da Kaspersky registrou 33.352 ataques entre janeiro e abril, nos quais malwares ou aplicativos potencialmente indesejados (PUAs) — em sua maioria trojans capazes de baixar payloads adicionais — se passaram por cinco serviços populares de IA. Esse volume representa quase cinco vezes o registrado no ano anterior, superando as fraudes com ferramentas de escritório falsas, tendo o Claude e o OpenClaw entre as principais iscas. O ecossistema de ameaças também contabilizou cerca de 415.000 ataques personificando aplicativos de mensagens e 24.000 imitando softwares de escritório. A cadeia de roubo de credenciais baseia-se fortemente no abuso de plataformas legítimas. As táticas incluem kits de phishing que simulam o compartilhamento de documentos no OneDrive, falsas apelações de violação de políticas no Facebook, iscas em duas etapas hospedadas em páginas do Zoom Docs e anúncios de acesso inicial na dark web. Esses anúncios promovem de forma desproporcional as PMEs como pontos de entrada vulneráveis para alcançar parceiros maiores por meio de ataques de relação de confiança, vetor que subiu de 12,7% em 2024 para 15,5% em 2025. Para se defender, as empresas devem restringir e revogar rapidamente acessos a recursos corporativos, reforçar a higiene de contas e senhas com filtragem de ameaças por e-mail, realizar treinamentos de conscientização com simulações de phishing e instalar softwares apenas de fontes oficiais.

Pesquisadores da Zscaler emitiram um alerta sobre uma extensão maliciosa do Microsoft Edge, apelidada de Edgecution, que utiliza o protocolo Chrome Native Messaging para se comunicar com um backdoor em Python. Os atacantes se passam por suporte de TI no Microsoft Teams e direcionam as vítimas para um console falso de atualização do Microsoft Outlook, o Outlook Updates Management Console, por onde instalam o malware usando scripts em AutoHotkey, batch ou PowerShell. Segundo as investigações, as técnicas do malware se assemelham ao modus operandi de corretores de acesso inicial (initial access brokers) associados à operação de ransomware Payouts Kings.

O novo recurso de OAuth autogerenciado da Cloudflare permite que qualquer cliente registre e gerencie seus próprios clientes OAuth para obter acesso delimitado e delegado à API da Cloudflare. A novidade substitui os tokens de API que anteriormente limitavam integrações de SaaS, plataformas internas de desenvolvimento e agentic tooling. Este é o anúncio oficial da própria Cloudflare, detalhando o processo como uma retrospectiva de engenharia sobre a migração do mecanismo Hydra subjacente por meio de atualizações blue-green sequenciais das versões 1.X e 2.X. A atualização também traz telas de consentimento mais claras, revogação pelo dashboard e visibilidade de propriedade do aplicativo para mitigar ataques de OAuth phishing.

Uma ação conjunta entre forças policiais e empresas de segurança cibernética desmantelou a infraestrutura das redes de malware Amadey e StealC, resultando na apreensão de 326 servidores, 142 domínios e no bloqueio de aproximadamente 47 milhões de dólares em criptomoedas associados a 27 milhões de credenciais roubadas. Amadey e StealC operavam sob o modelo de malware como serviço (MaaS) como loaders e stealers, com afiliados utilizando painéis auto-hospedados para a distribuição ampla de payloads. Durante a operação, a Microsoft e seus parceiros desativaram mais de 200 endpoints de comando e controle (C2) e cortaram o controle que os operadores exerciam sobre milhares de computadores infectados.

A Unit 42 atribuiu uma campanha contínua em 2025 contra governos e entidades estatais de energia do Sudeste Asiático ao CL-STA-1062, um cluster de língua chinesa ativo desde pelo menos março de 2022. A equipe avalia com alta confiança que o grupo é o mesmo ator rastreado pela Cisco Talos como UAT-7237. O grupo combina ferramentas comuns de mercado, como SoftEther VPN, Mimikatz, VNT e JuicyPotato, com o TinyRCT, um backdoor em C#/.NET anteriormente não documentado. Entregue via injeção de AppDomainManager, esse malware suporta execução de comandos arbitrários, exfiltração de arquivos, captura de tela e uma rotina de autodestruição que elimina vestígios forenses. A transição do uso de infraestrutura de hospedagem web taiwanesa para alvos governamentais e de energia crítica na região sinaliza uma ampliação do foco de espionagem na Ásia-Pacífico. Além disso, a mudança para o desenvolvimento de malware sob medida sugere que o CL-STA-1062 continuará sendo uma ameaça persistente para os setores estratégicos da região.

A administração Trump teria pressionado a OpenAI a limitar o GPT 5.6 a uma versão prévia restrita e avaliada cliente por cliente, em vez de realizar um lançamento público. A medida reflete as restrições impostas ao Claude Mythos, modelo de cibersegurança da Anthropic no Project Glasswing, devido a preocupações de que frontier models capazes de encontrar e explorar vulnerabilidades de software de forma autônoma representem um risco desproporcional em mãos erradas.

O GitLab lançou atualizações de segurança para as edições CE e EE, corrigindo 13 problemas. Entre as correções, estão três falhas de alta gravidade nos painéis de Analytics, no Web IDE e no Duo Workflows, que permitiam ataques de XSS e a exposição de dados já integrados aos repositórios.

O relatório de Avaliação de Ameaças Cibernéticas da Ásia e do Pacífico Sul de 2025/2026 da Interpol revelou que mais da metade dos 18 países membros pesquisados relatam que o cibercrime equivale a 30% de todos os crimes registrados.

A transição do Chrome do Manifest V2 para o Manifest V3, prevista para ser concluída na versão 150 (com rumores para 30 de junho), limitará as extensões a 30.000 regras de filtragem e removerá o bloqueio de conteúdo dinâmico. Essa mudança prejudica bloqueadores de anúncios avançados e ferramentas de segurança como uBlock Origin e NoScript, além de enfraquecer a proteção contra ameaças baseadas em navegador, como o malware ClickFix.