Resumo das últimas notícias de cibersegurança.
Período analisado: 17/05/2026 a 20/05/2026. Este relatório consolida os principais acontecimentos recentes em cibersegurança.
Malware Linux ‘Showboat’ atinge provedor de telecomunicações no Oriente Médio com backdoor SOCKS5
2026-05-21
Pesquisadores de cibersegurança identificaram um novo malware Linux chamado Showboat, utilizado em ataques contra uma empresa de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração voltado para sistemas Linux, capaz de abrir shells remotos, transferir arquivos e operar como proxy SOCKS5, permitindo ao atacante manter acesso persistente e encoberto à rede comprometida.
ThreatsDay Bulletin: Rootkits Linux, 0-Day em Roteadores, Intrusões com IA, Kits de Golpe e 25 Novas Histórias
2026-05-21
O boletim semanal de ameaças destaca um padrão preocupante: atacantes estão explorando elementos já confiáveis no ambiente das vítimas, como atualizações, aplicativos, serviços em nuvem, chats de suporte e contas legítimas, em vez de forçar entradas tradicionais. Entre os destaques estão rootkits para Linux, uma vulnerabilidade zero-day em roteadores, uso de Inteligência Artificial em intrusões e kits prontos para aplicação de golpes. A semana começou com incidentes aparentemente isolados — vazamento de token, pacote malicioso, técnica de login fraudulenta e ressurgimento de ferramenta antiga — mas o conjunto revela uma tendência de ataques que abusam da confiança já estabelecida nos sistemas.
Microsoft Alerta sobre Duas Vulnerabilidades Ativamente Exploradas no Defender
2026-05-21
A Microsoft divulgou duas vulnerabilidades no Microsoft Defender que estão sendo ativamente exploradas. A primeira, CVE-2026-41091, com pontuação CVSS 7.8, é uma falha de escalação de privilégios causada por resolução inadequada de links antes do acesso a arquivos (‘link following’), que pode permitir a um atacante obter privilégios de SYSTEM. A segunda vulnerabilidade envolve negação de serviço (DoS). Ambas as falhas representam risco significativo e requerem atenção imediata por parte das equipes de segurança.
Quando a Identidade é o Caminho do Ataque
2026-05-21
Uma chave de acesso AWS armazenada em cache em uma única máquina Windows pode expor até 98% das entidades em um ambiente de nuvem corporativa. O problema não envolve erro de configuração ou violação de política — a chave foi armazenada automaticamente após um login comum, seguindo o comportamento padrão da AWS. O caso ilustra como credenciais legítimas e aparentemente inofensivas podem se tornar vetores críticos de ataque quando acessíveis a agentes maliciosos, destacando a importância do gerenciamento rigoroso de identidades e credenciais em ambientes de nuvem.
Falha de 9 Anos no Kernel Linux Permite Execução de Comandos como Root
2026-05-21
Pesquisadores de segurança divulgaram detalhes de uma vulnerabilidade crítica no kernel Linux (CVE-2026-46333, CVSS 5.5) que permaneceu sem detecção por nove anos. A falha envolve gerenciamento inadequado de privilégios e permite que um usuário local sem privilégios acesse arquivos sensíveis e execute comandos arbitrários como root em instalações padrão de diversas distribuições Linux populares. O impacto é significativo pois afeta configurações padrão, ampliando a superfície de ataque em ambientes corporativos e servidores.
Repositórios Internos do GitHub Comprometidos via Extensão Maliciosa do VS Code
2026-05-21
O GitHub confirmou oficialmente que seus repositórios internos foram comprometidos devido à infecção de um dispositivo de funcionário por uma versão adulterada da extensão ‘Nx Console’ (nrwl.angular-console) do Visual Studio Code. A extensão foi envenenada após o sistema de um dos desenvolvedores da equipe Nx ser hackeado, caracterizando um ataque à cadeia de suprimentos de software (supply chain attack). O incidente reforça os riscos associados ao uso de extensões de terceiros em IDEs corporativos e a importância de verificar a integridade de ferramentas de desenvolvimento.
Falha Crítica no Drupal Core Expõe Sites com PostgreSQL a Ataques de RCE
2026-05-21
O Drupal divulgou atualizações de segurança para uma vulnerabilidade classificada como ‘altamente crítica’ no Drupal Core, rastreada como CVE-2026-9082, com pontuação CVSS de 6.5. A falha reside na API de abstração de banco de dados e pode ser explorada por atacantes para execução remota de código (RCE), escalonamento de privilégios ou divulgação de informações, afetando especialmente sites que utilizam PostgreSQL. Recomenda-se a aplicação imediata dos patches disponibilizados pelo Drupal.
Microsoft Disponibiliza RAMPART e Clarity como Open-Source para Segurança de Agentes de IA
2026-05-20
A Microsoft lançou duas ferramentas open-source chamadas RAMPART e Clarity, voltadas para auxiliar desenvolvedores a testar a segurança de agentes de inteligência artificial. O RAMPART (Risk Assessment and Measurement Platform for Agentic Red Teaming) é um framework nativo do Pytest focado em testes de segurança e proteção para agentes de IA, permitindo a escrita e execução de casos de teste específicos para esse contexto. As ferramentas visam fortalecer o processo de desenvolvimento seguro de soluções baseadas em IA, fornecendo recursos práticos de red teaming para identificar vulnerabilidades antes da implantação em produção.
Microsoft Derruba Serviço de Assinatura de Malware por Trás de Ataques de Ransomware
2026-05-20
A Microsoft desmantelou uma operação criminosa chamada ‘Malware-Signing-as-a-Service’ (MSaaS), atribuída ao grupo de ameaças denominado Fox Tempest. Os atacantes exploraram o sistema legítimo de Artifact Signing da Microsoft para assinar digitalmente códigos maliciosos, conferindo aparência legítima ao malware e facilitando a distribuição de ransomware e outros ataques. A operação comprometeu milhares de máquinas e redes ao redor do mundo antes de ser interrompida.
Webworm Implanta Backdoors EchoCreep e GraphWorm Usando Discord e MS Graph API
2026-05-20
Pesquisadores de cibersegurança identificaram nova atividade em 2025 do grupo de ameaça alinhado à China conhecido como Webworm. O grupo está implantando backdoors personalizados chamados EchoCreep e GraphWorm, que utilizam o Discord e a Microsoft Graph API como canais de comando e controle (C2). O Webworm foi documentado publicamente pela primeira vez pela Symantec em setembro de 2022 e está ativo pelo menos desde aquele ano, tendo como alvos principais agências governamentais. O uso de serviços legítimos como Discord e Microsoft Graph API dificulta a detecção, pois o tráfego malicioso se mistura com comunicações corporativas normais.
Google expôs acidentalmente detalhes de falha não corrigida no Chromium
2026-05-21
O Google vazou acidentalmente informações sobre uma vulnerabilidade ainda não corrigida no Chromium. A falha permite que código JavaScript continue sendo executado em segundo plano mesmo após o fechamento do navegador, possibilitando execução remota de código (RCE) no dispositivo afetado. A exposição prematura dos detalhes técnicos aumenta o risco de exploração antes que um patch seja disponibilizado.
Apple bloqueou mais de $11 bilhões em fraudes na App Store em 6 anos
2026-05-21
A Apple divulgou que bloqueou mais de $11 bilhões em transações fraudulentas na App Store ao longo dos últimos seis anos. Somente em 2025, foram impedidas transações potencialmente fraudulentas que somam mais de $2,2 bilhões. Os dados reforçam os esforços contínuos da empresa para proteger usuários e desenvolvedores contra fraudes financeiras no ecossistema da App Store.
Inside a Crypto Drainer: How to Spot it Before it Empties Your Wallet
2026-05-21
Crypto drainers modernos não invadem carteiras diretamente — eles enganam usuários para que aprovem transações maliciosas. A plataforma Lucifer, operando no modelo DaaS (Drainer-as-a-Service), escala o roubo de carteiras de criptomoedas por meio de phishing e automação. A análise da empresa Flare detalha como essa infraestrutura funciona e orienta profissionais e usuários sobre como identificar sinais de alerta antes de terem seus fundos esvaziados.
Hackers chineses miram provedores de telecomunicações com novos malwares para Linux e Windows
2026-05-21
Uma campanha de ciber-espionagem atribuída a agentes chineses está atacando provedores de telecomunicações com dois novos malwares: ‘Showboat’, voltado para sistemas Linux, e ‘JFMBackdoor’, para sistemas Windows. A operação tem como alvo infraestruturas críticas do setor de telecom, seguindo um padrão conhecido de grupos APT chineses com foco em espionagem e coleta de informações sensíveis.
Vulnerabilidade crítica no Cisco Secure Workload permite obter privilégios de Site Admin
2026-05-21
A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de severidade máxima no Cisco Secure Workload. A falha permite que atacantes obtenham privilégios de Site Admin, representando um risco crítico para ambientes que utilizam a solução. Recomenda-se a aplicação imediata dos patches disponibilizados pela Cisco.
Polícia apreende serviço ‘First VPN’ usado em ataques de ransomware e roubo de dados
2026-05-21
Uma operação internacional de aplicação da lei resultou na derrubada do serviço de VPN chamado ‘First VPN’, que era utilizado por cibercriminosos para conduzir ataques de ransomware e roubo de dados. A ação conjunta encerrou as operações do serviço, que funcionava como infraestrutura de anonimização para atividades maliciosas.
Projeto Flipper One busca ajuda da comunidade para construir plataforma Linux aberta
2026-05-21
A Flipper Devices, fabricante da ferramenta de pentesting Flipper Zero, está solicitando contribuições da comunidade para desenvolver o Flipper One, uma plataforma Linux aberta voltada para dispositivos conectados. O projeto representa uma evolução do Flipper Zero, buscando criar um ecossistema mais robusto e colaborativo baseado em Linux para testes de segurança e exploração de hardware.
Microsoft alerta sobre novas zero-days no Defender exploradas em ataques
2026-05-21
A Microsoft iniciou a distribuição de patches de segurança para duas vulnerabilidades do tipo zero-day no Microsoft Defender, que já estavam sendo ativamente exploradas em ataques. As correções começaram a ser liberadas na quarta-feira, indicando que agentes maliciosos já se aproveitavam das falhas antes da disponibilização das atualizações.
GitHub vincula violação de repositórios ao ataque à cadeia de suprimentos npm do TanStack
2026-05-21
O GitHub confirmou que invasores comprometeram 3.800 repositórios internos por meio de uma versão maliciosa da extensão Nx Console para VS Code. Essa extensão foi comprometida durante o ataque à cadeia de suprimentos npm do TanStack, ocorrido na semana anterior. O incidente reforça os riscos associados a dependências de terceiros em ambientes de desenvolvimento, especialmente extensões de IDEs e pacotes npm amplamente utilizados.
Ucrânia identifica operador de infostealer ligado a 28.000 contas roubadas
2026-05-20
A Ciberpolícia da Ucrânia, em cooperação com autoridades dos Estados Unidos, identificou um jovem de 18 anos da cidade de Odessa suspeito de operar um malware do tipo infostealer. O indivíduo é acusado de comprometer contas de usuários de uma loja online sediada na Califórnia, resultando no roubo de aproximadamente 28.000 contas. O caso reforça a importância da cooperação internacional no combate a crimes cibernéticos e evidencia o crescente uso de infostealers como ferramenta de ataque por agentes jovens e com acesso a ferramentas maliciosas acessíveis.
Administrador da CISA vaza chaves AWS GovCloud no GitHub
2026-05-18
Um contratado da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) manteve publicamente um repositório no GitHub que expôs credenciais de contas AWS GovCloud com altos privilégios, além de informações de acesso a diversos sistemas internos da agência. O repositório também continha arquivos detalhando processos internos de construção, teste e implantação de software da CISA. A exposição foi identificada e o repositório removido no último fim de semana. Especialistas em segurança classificaram o incidente como um dos vazamentos de dados governamentais mais graves dos últimos tempos.
O Cenário de Ameaças no npm: Superfície de Ataque e Mitigações (Atualizado em 21 de maio)
2026-05-21
A Unit 42 (Palo Alto Networks) publicou uma análise atualizada sobre a evolução dos ataques à cadeia de suprimentos do npm, com foco no período pós-operação Shai Hulud. O relatório aborda ameaças como malware com capacidade de propagação autônoma (wormable), técnicas de persistência em pipelines CI/CD e ataques em múltiplos estágios. O documento também apresenta recomendações de mitigação para organizações que dependem do ecossistema npm.
Rastreamento de Clusters TamperedChef via Reutilização de Certificados e Código
2026-05-20
Pesquisadores da Unit 42 (Palo Alto Networks) identificaram e analisaram clusters de malware denominados TamperedChef, que utilizam aplicativos de produtividade trojanizados e malvertising (publicidade maliciosa) como vetores de entrega de payloads furtivos contra alvos específicos. O rastreamento foi possível por meio da análise de reutilização de certificados digitais e padrões de código compartilhados entre as amostras, técnica que permite correlacionar diferentes campanhas e infraestruturas maliciosas associadas ao mesmo grupo ou família de ameaças.
Panorama de Ameaças no npm: Superfície de Ataque e Mitigações (Atualizado em 21 de Maio)
2026-05-21
A Unit 42 (Palo Alto Networks) publicou uma análise atualizada sobre a evolução dos ataques à cadeia de suprimentos do ecossistema npm, com foco no período pós-operação Shai Hulud. O relatório aborda ameaças como malware com capacidade de autopropagação (wormable), persistência em pipelines de CI/CD e ataques em múltiplos estágios. O documento serve como referência para profissionais de segurança compreenderem a superfície de ataque atual do npm e as medidas de mitigação recomendadas.
Rastreamento de Clusters TamperedChef via Reutilização de Certificados e Código
2026-05-20
A equipe Unit 42 da Palo Alto Networks identificou e analisou clusters de malware denominados TamperedChef, que utilizam aplicativos de produtividade trojanizados e malvertising (publicidade maliciosa) como vetores de distribuição para entregar payloads furtivos às vítimas. O rastreamento foi possível por meio da análise de reutilização de certificados digitais e trechos de código compartilhados entre as amostras, técnica que permite correlacionar diferentes campanhas a um mesmo agente de ameaça.
Seja o primeiro a comentar