Ferramentas de KYC (Know Your Customer), criadas para prevenir sequestro de contas e phishing, estão sendo contornadas por fraudadores via canais do Telegram. O número de soluções ilícitas que permitem burlar essas verificações — ou explorar dados biométricos roubados — cresce rapidamente. Enquanto os sistemas de KYC evoluem para bloquear as brechas, criminosos financeiramente motivados refinam seus métodos de evasão, perpetuando um constante jogo de gato e rato entre fraude e segurança.
CEVIU News
As melhores notícias de tecnologia, curadas diariamente para quem vive tech.
973 notícias encontradas
O mecanismo de renderização de resumos do ChatGPT pode ser explorado por atacantes via links Markdown e URLs de imagens de páginas processadas. A falha, batizada de ChatGPhish, permite disparar requisições que expõem IP, User-Agent e Referer da vítima, além de exibir links de phishing, alertas falsos de segurança e QR codes maliciosos diretamente na interface do assistente.
A polícia holandesa e o Centro Nacional de Cibersegurança desmantelaram uma botnet com mais de 17 milhões de dispositivos, controlada por 200 servidores hospedados na Holanda e supostamente vinculada ao provedor de proxy residencial ASOCKS, de origem russa. Os servidores foram apreendidos e investigadores identificaram conexões com o Proxylib, esquema em que apps maliciosos inscreviam silenciosamente celulares e roteadores em uma rede comercial de proxy.
Uma falha com pontuação 9.4 no Gogs permite que usuários autenticados executem comandos arbitrários via injeção de argumentos na função Merge(), quando a opção 'Rebase before merging' está ativa. O problema afeta Windows, Linux e macOS. O pesquisador Jonah Burgess, da Rapid7, divulgou a vulnerabilidade em março e publicou um módulo de exploração para o Metasploit. Sem patch disponível, a recomendação é restringir o registro de novos usuários, a criação de repositórios e as configurações de rebase.
🔓
ShinyHunters vaza dados de 5 milhões de clientes da Charter Communications após extorsão fracassada
O grupo hacker ShinyHunters tornou públicos dados roubados da Charter Communications depois que a tentativa de extorsão à empresa não teve o resultado esperado. O vazamento afeta potencialmente 5 milhões de clientes da operadora americana. O coletivo é conhecido por ataques de alto impacto e pela prática de leiloar ou vazar dados quando as vítimas se recusam a pagar o resgate exigido.
Atacantes estão explorando a CVE-2026-35616, falha de controle de acesso não autenticado nas versões 7.4.5 e 7.4.6 do FortiClient EMS, para manipular configurações de VPN e forçar o fortitray.exe a executar scripts batch maliciosos via túnel IPsec. Os scripts rodam comandos PowerShell em base64 que baixam o infostealer EKZ — disfarçado de patch Fortinet — capaz de roubar credenciais, cookies e dados financeiros de navegadores, exfiltrando tudo para servidor externo e apagando rastros. Equipes de segurança devem aplicar os hotfixes de abril, monitorar logs com a sequência 'Certificate not found in request header' e auditar logins administrativos vindos de redes Tor ou VPS.
Pesquisadores da Cyderes identificaram uma campanha de ClickFix com SEO envenenado para o termo 'claude code install', redirecionando vítimas a páginas falsas da Anthropic. O ataque leva o usuário a executar um comando via mshta.exe que carrega um arquivo poliglota MP3/HTA. O script aciona um processo PowerShell 32 bits, realiza bypass do AMSI e injeta um infostealer .NET direto na memória, exfiltrando credenciais do navegador para servidores na Rússia. Recomenda-se bloquear *.oakenfjrod[.]ru e monitorar execuções de mshta.exe que disparem conexões de rede ou PowerShell.
Pesquisadores identificaram uma vulnerabilidade de escalonamento de privilégio local no Linux que permite forjar descrições de chaves de autenticação CIFS e explorar o mecanismo de solicitação de chaves do kernel para obter acesso root. O problema ocorre porque o subsistema CIFS não verifica se requisições cifs.spnego partem do próprio cliente CIFS do kernel. Entre as distribuições vulneráveis por padrão estão Linux Mint 21.3 e 22.3, CentOS Stream 9, Rocky Linux 9, Alma Linux 9, Kali Linux 2021.4–2026.1 e SLES 15 SP7.
A Obsidian Security divulgou detalhes técnicos e um PoC para a CVE-2026-40933, vulnerabilidade de execução remota de código com CVSS 9.9 no adaptador MCP do Flowise. A falha explora serialização insegura de comandos stdio para acionar execução de código a nível de SO durante a importação — frequentemente com privilégios de root em ambientes conteinerizados auto-hospedados.
Pesquisadores publicaram o LLMReaper, uma prova de conceito de extensão Chrome (Manifest V3) que usa MutationObserver para capturar conversas em tempo real no ChatGPT, Claude e Gemini diretamente do DOM. Os dados, incluindo usuário, títulos de chat e conteúdo completo, são enviados via service worker a um backend FastAPI que extrai automaticamente chaves de API da OpenAI, AWS, segredos Stripe, JWTs e URLs de bancos de dados. O ataque contorna a Same Origin Policy sem permissões extras. Equipes de segurança devem auditar extensões instaladas, tratar chats de IA como canais não criptografados e mapear o risco às técnicas MITRE T1056.003, T1041 e T1555.003.
Um pesquisador reproduziu o provável vetor de ataque usado na interceptação TLS do jabber.ru em 2023. A técnica combina a falha de command-injection CVE-2023-38198 no acme.sh com controle de roteamento para um ataque MitM via certificado fraudulento. Um token http-01 injeta um stager Python em base64, gerando uma reverse shell privilegiada quando o acme.sh contata uma CA controlada pelo atacante — deixando rastros mínimos no sistema.
Pesquisadores da Novee encontraram um XSS armazenado no pretalx que permite a qualquer usuário registrado injetar HTML ou JavaScript nos resultados de busca de organizadores e executar código no navegador do organizador em uma consulta correspondente. O exploit utiliza um iframe srcdoc para burlar o bloqueio de scripts innerHTML e um arquivo .js carregado de mesma origem para satisfazer a CSP. Em seguida, ele sequestra a sessão do organizador e pode revogar permanentemente os direitos de superusuário via GETs autenticados. Um atacante pode automatizar submissões, plantar payloads em títulos e impulsionar uma exploração quase certa em muitas conferências que usam implantações compartilhadas do pretalx.
IBM e Red Hat lançaram o Project Lightwell com um investimento de 5 bilhões de dólares para proteger as cadeias de suprimentos open source. O sistema aplica correções de vulnerabilidades para versões exatas de dependências já em produção, utilizando 20.000 engenheiros e IA para corrigir pacotes em Maven/Java, com PyPI, npm e Go planejados. Ele opera através de manifestos de dependência como pom.xml, sem acessar o código-fonte, entregando patches assinados com SLAs para repositórios controlados.
CrowdStrike, Google e a The Shadowserver Foundation desativaram a botnet Glassworm, que visava desenvolvedores e estava ativa desde outubro de 2025, utilizando extensões maliciosas de OpenVSX e VS Code, repositórios GitHub e pacotes npm para roubar carteiras de criptomoedas e credenciais de desenvolvedores. A ação conjunta cortou simultaneamente quatro canais C2 (comando e controle) deliberadamente resilientes: campos de memo da blockchain Solana, o BitTorrent DHT, títulos de eventos do Google Calendar contendo caminhos codificados em Base64, e conexões diretas de VPS. Qualquer canal isolado poderia fazer failover para os outros, por isso os operadores criaram camadas de indireção que só poderiam ser derrotadas por uma derrubada coordenada e simultânea. Agora, os hosts infectados não conseguem mais receber novas instruções ou payloads. Defensores devem procurar máquinas comprometidas que estejam "beaconing" para o sinkhole operado pela CrowdStrike em 164.92.88[.]210 e aplicar as regras YARA publicadas para confirmar infecções, remediando as extensões e pacotes maliciosos nos endpoints de desenvolvedores afetados.
Métricas, logs e traces foram por muito tempo os três pilares da observability tooling. No entanto, esses pilares não se sustentam na era dos LLMs e sistemas agentic, pois foram projetados para humanos, embora os agentes sejam agora os principais consumidores de observability. Atualmente, os traces são o pilar principal, e seus esquemas devem ser versionados e vistos de forma similar a uma API.
O grupo Seedworm (MuddyWater), ligado ao Irã, conduziu uma campanha de espionagem no início de 2026 contra nove organizações em nove países. A campanha abusou de binários legítimos da Fortemedia (fmapp.exe) e SentinelOne (sentinelmemoryscanner.exe) para realizar sideloading de DLLs maliciosas contendo o stealer de dados de navegador ChromElevator. Os operadores usaram node.exe em vez de PowerShell para orquestrar a cadeia de ataque e evadir a detecção, estabeleceram persistência via chave de registro, implementaram ferramentas de roubo de credenciais em ondas redundantes e exfiltraram dados via o serviço público de transferência de arquivos sendit.sh para se misturar ao tráfego normal de nuvem. Recomenda-se monitorar DLLs não assinadas carregadas junto a executáveis assinados, sinalizar atividades inesperadas de Node.js, bloquear tráfego de saída para serviços de transferência de arquivos desconhecidos e aplicar políticas rigorosas de registro de inicialização.
Uma vulnerabilidade crítica foi descoberta na implementação Startlette ASGI, que serve de base para o FastAPI e outros frameworks amplamente utilizados na construção de serviços Python. A falha pode ser facilmente explorada para contornar a autorização baseada em caminho, adicionando um único caractere ao cabeçalho HTTP host. Desenvolvedores que dependem de projetos que utilizam Startlette, como FastLLM, vLLM ou LiteLLM, devem atualizar suas versões imediatamente.
O grupo Nimbus Manticore (UNC1549), ligado ao IRGC, conduziu uma campanha entre fevereiro e abril, empregando sequestro de AppDomain com arquivos Setup.exe.config maliciosos e instaladores trojanizados do Zoom (Zoom_cm.exe). O objetivo era implantar os backdoors MiniJunk e MiniFast, aproveitando a tarefa agendada legítima ZoomUpdateTaskUser para persistência. Durante a campanha, o grupo aprimorou suas táticas, desenvolvendo código assistido por IA que permitia controle remoto completo via cmd.exe, mascarado como tráfego do Chrome. Posteriormente, abandonaram iscas por e-mail em favor de SEO poisoning, impulsionando o site falso getsqldeveloper[.]com para o topo de resultados de busca no Bing e DuckDuckGo. Defensores devem procurar arquivos .config emparelhados com binários assinados, auditar tarefas agendadas por adulterações e monitorar atividades de download de domínios typosquatted de software.
A Pay Tel, serviço de telefonia em prisões, deixou um servidor de armazenamento Azure exposto na internet, contendo pelo menos 300.000 carteiras de motorista digitalizadas, outros documentos de identidade, fotos de usuários e comunicações de detentos, incluindo textos, anotações manuscritas e registros financeiros. A UpGuard relatou o bucket exposto em 7 de maio. A Pay Tel subsequentemente protegeu o servidor, mas não reconheceu publicamente o incidente nem informou se notificará os usuários afetados.
Um bug de registro de container no Gitea (CVE-2026-27771) permitiu que usuários não autenticados acessassem imagens "privadas" por aproximadamente quatro anos. Isso expôs código, segredos e configurações de produção em cerca de 30.000 instâncias auto-hospedadas de Gitea e Forgejo, impactando setores como saúde, aeroespacial, SaaS e ISPs. Operadores devem fazer upgrade para o Gitea v1.26.2, considerar definir REQUIRE_SIGNIN_VIEW=true como medida paliativa e auditar os logs de registro em busca de acessos suspeitos.