Resumo das últimas notícias de cibersegurança.
Malware Linux ‘Showboat’ Ataca Operadora de Telecomunicações no Oriente Médio com Backdoor SOCKS5
2026-05-21
Pesquisadores de cibersegurança identificaram um novo malware Linux chamado ‘Showboat’, utilizado em campanha direcionada a uma operadora de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração projetado para sistemas Linux, com capacidades de abertura de shell remoto, transferência de arquivos e funcionamento como proxy SOCKS5. A descoberta foi divulgada pela empresa Lumen.
ThreatsDay Bulletin: Rootkits Linux, 0-Day em Roteadores, Intrusões com IA, Kits de Golpe e 25 Novas Histórias
2026-05-21
O boletim semanal de ameaças destaca um padrão preocupante: atacantes estão explorando elementos confiáveis do ambiente digital em vez de forçar entradas. Entre os vetores identificados estão vazamentos de tokens, pacotes maliciosos em repositórios, técnicas de bypass de login, rootkits em sistemas Linux, vulnerabilidades zero-day em roteadores e o uso crescente de inteligência artificial em intrusões. O alerta central é que o perigo agora reside em componentes cotidianos e legítimos, como atualizações de software, aplicativos, serviços em nuvem, chats de suporte e contas confiáveis, tornando a detecção mais difícil e a superfície de ataque mais ampla.
Microsoft Alerta sobre Duas Vulnerabilidades Ativamente Exploradas no Defender
2026-05-21
A Microsoft divulgou duas vulnerabilidades no Microsoft Defender que estão sendo ativamente exploradas. A primeira, CVE-2026-41091, é uma falha de escalação de privilégios com pontuação CVSS 7.8, que permite ao atacante obter privilégios de SYSTEM por meio de resolução incorreta de links antes do acesso a arquivos (‘link following’). A segunda é uma falha de negação de serviço (DoS). Ambas já foram identificadas em exploração ativa no ambiente real.
Quando a Identidade é o Caminho do Ataque
2026-05-21
Uma chave de acesso AWS armazenada em cache em uma única máquina Windows — resultado de um comportamento padrão e automático da plataforma, sem qualquer má configuração — foi suficiente para expor aproximadamente 98% das entidades no ambiente de nuvem de uma empresa. O caso ilustra como credenciais legítimas, mesmo obtidas de forma rotineira, podem se tornar vetores críticos de ataque quando acessíveis a agentes maliciosos com capacidade técnica limitada. O incidente reforça a importância de estratégias robustas de gerenciamento de identidade e acesso (IAM), como rotação frequente de chaves, monitoramento de credenciais em cache e adoção do princípio de menor privilégio em ambientes de nuvem.
Falha de 9 Anos no Kernel Linux Permite Execução de Comandos como Root em Principais Distribuições
2026-05-21
Pesquisadores de cibersegurança divulgaram detalhes de uma vulnerabilidade no kernel Linux (CVE-2026-46333, CVSS 5.5) que permaneceu sem detecção por nove anos. A falha envolve gerenciamento inadequado de privilégios e permite que um usuário local sem privilégios acesse arquivos sensíveis e execute comandos arbitrários como root em instalações padrão de diversas distribuições Linux amplamente utilizadas. A exploração bem-sucedida pode resultar em comprometimento total do sistema afetado.
Repositórios Internos do GitHub Comprometidos via Extensão Maliciosa do VS Code
2026-05-21
O GitHub confirmou oficialmente que seus repositórios internos foram comprometidos após um dispositivo de funcionário ser infectado por uma versão adulterada da extensão ‘Nx Console’ (nrwl.angular-console) do Visual Studio Code. A equipe do Nx revelou que a extensão foi comprometida após o sistema de um de seus desenvolvedores ser hackeado. O incidente representa um ataque à cadeia de suprimentos de software (supply chain attack), onde uma extensão legítima e amplamente utilizada foi envenenada para servir como vetor de acesso inicial ao ambiente interno do GitHub.
Falha Crítica no Drupal Core Expõe Sites com PostgreSQL a Ataques de RCE
2026-05-21
O Drupal lançou atualizações de segurança para corrigir uma vulnerabilidade classificada como ‘altamente crítica’ no Drupal Core, identificada como CVE-2026-9082, com pontuação CVSS de 6.5. A falha está localizada em uma API de abstração de banco de dados e pode ser explorada por atacantes para executar código remotamente (RCE), escalar privilégios ou divulgar informações sensíveis. Sites que utilizam PostgreSQL como banco de dados são os principais afetados. Administradores de sistemas Drupal devem aplicar as atualizações de segurança disponibilizadas o quanto antes para mitigar o risco de exploração.
Microsoft disponibiliza RAMPART e Clarity como open-source para segurança de agentes de IA
2026-05-20
A Microsoft lançou duas ferramentas open-source, RAMPART e Clarity, voltadas para auxiliar desenvolvedores a testar a segurança de agentes de inteligência artificial. O RAMPART (Risk Assessment and Measurement Platform for Agentic Red Teaming) é um framework nativo do Pytest focado em testes de segurança e segurança para agentes de IA, permitindo a escrita e execução de testes durante o desenvolvimento. As ferramentas visam fortalecer a postura de segurança de sistemas baseados em IA antes de sua implantação em produção.
Microsoft Desmantela Serviço de Assinatura de Malware Usado em Ataques de Ransomware
2026-05-20
A Microsoft desmantelou uma operação criminosa chamada ‘Malware-Signing-as-a-Service’ (MSaaS), que explorava o sistema legítimo de Assinatura de Artefatos da empresa para assinar digitalmente códigos maliciosos. A atividade foi atribuída ao grupo de ameaças denominado ‘Fox Tempest’, que oferecia esse serviço como plataforma para terceiros realizarem ataques de ransomware e outras campanhas maliciosas. A operação comprometeu milhares de máquinas e redes ao redor do mundo. A ação da Microsoft visou interromper a infraestrutura utilizada pelo grupo para legitimar o malware por meio de certificados digitais confiáveis.
Webworm Implanta Backdoors EchoCreep e GraphWorm Usando Discord e MS Graph API
2026-05-20
Pesquisadores de cibersegurança identificaram nova atividade do grupo de ameaça Webworm, alinhado à China, em 2025. O grupo está implantando backdoors customizados chamados EchoCreep e GraphWorm, que utilizam o Discord e a Microsoft Graph API como canais de comunicação de comando e controle (C2). O Webworm foi documentado publicamente pela primeira vez pela Symantec em setembro de 2022 e está ativo desde pelo menos esse ano, com foco em agências governamentais. O abuso de serviços legítimos como Discord e Microsoft Graph dificulta a detecção do tráfego malicioso por soluções de segurança tradicionais.
Apple bloqueou mais de US$ 11 bilhões em fraudes na App Store em 6 anos
2026-05-21
A Apple revelou que bloqueou mais de US$ 11 bilhões em transações fraudulentas na App Store ao longo dos últimos seis anos. Somente em 2025, o valor bloqueado superou US$ 2,2 bilhões em transações potencialmente fraudulentas. Os dados reforçam os esforços contínuos da empresa no combate a fraudes financeiras e na proteção dos usuários do ecossistema iOS.
Inside a Crypto Drainer: Como Identificar Antes que Esvazie sua Carteira
2026-05-21
Crypto drainers modernos não invadem carteiras diretamente — eles enganam usuários para que aprovem transações maliciosas. A plataforma ‘Lucifer’, operando como Drainer-as-a-Service (DaaS), escala o roubo de carteiras digitais combinando phishing e automação. A pesquisa da Flare detalha como esse tipo de ameaça funciona e como identificar sinais de alerta antes de sofrer prejuízos financeiros.
Hackers chineses miram provedores de telecomunicações com novos malwares para Linux e Windows
2026-05-21
Uma campanha de ciberespionagem atribuída a atores chineses está atacando provedores de telecomunicações utilizando dois novos malwares recém-descobertos: ‘Showboat’, voltado para sistemas Linux, e ‘JFMBackdoor’, direcionado ao Windows. A campanha tem como alvo infraestruturas críticas do setor de telecomunicações, indicando motivação de espionagem estratégica.
Vulnerabilidade crítica no Cisco Secure Workload permite acesso com privilégios de Site Admin
2026-05-21
A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de severidade máxima no produto Cisco Secure Workload. A falha permite que atacantes obtenham privilégios de Site Admin, representando um risco crítico para ambientes que utilizam a solução. Recomenda-se a aplicação imediata dos patches disponibilizados pelo fabricante.
Serviço ‘First VPN’ apreendido por autoridades policiais após uso em ataques de ransomware e roubo de dados
2026-05-21
Em uma operação internacional conjunta de aplicação da lei, o serviço de VPN denominado ‘First VPN’ foi derrubado e apreendido. O serviço era utilizado por agentes maliciosos como infraestrutura de suporte em ataques de ransomware e campanhas de roubo de dados, permitindo o anonimato dos criminosos durante as operações. A ação reforça a tendência crescente de cooperação entre agências de segurança de múltiplos países no combate a infraestruturas utilizadas por cibercriminosos.
Projeto Flipper One busca ajuda da comunidade para construir plataforma Linux aberta
2026-05-21
A Flipper Devices, fabricante da ferramenta de pentesting Flipper Zero, está solicitando apoio da comunidade para desenvolver o Flipper One, uma plataforma Linux aberta voltada para dispositivos conectados. O projeto representa uma evolução do Flipper Zero, expandindo suas capacidades para um ecossistema mais robusto baseado em Linux, com potencial impacto na área de segurança ofensiva e testes de penetração em dispositivos IoT e sistemas embarcados.
Microsoft alerta sobre novas vulnerabilidades zero-day no Defender sendo exploradas em ataques
2026-05-21
A Microsoft iniciou a distribuição de patches de segurança para duas vulnerabilidades zero-day no Microsoft Defender que já estão sendo ativamente exploradas em ataques reais. As falhas foram identificadas e a correção começou a ser implementada na quarta-feira, 21 de maio de 2026. Usuários e administradores de sistemas devem aplicar as atualizações imediatamente para mitigar os riscos associados a essas vulnerabilidades.
GitHub vincula violação de repositórios ao ataque de supply chain npm do TanStack
2026-05-21
O GitHub confirmou que hackers comprometeram 3.800 repositórios internos por meio de uma versão maliciosa da extensão Nx Console para VS Code. Essa extensão foi comprometida durante o ataque de supply chain ao ecossistema npm do TanStack, ocorrido na semana anterior. O incidente reforça os riscos associados a ataques de cadeia de suprimentos em ferramentas de desenvolvimento amplamente utilizadas, onde extensões e pacotes legítimos são adulterados para servir como vetor de acesso inicial.
Ucrânia identifica operador de infostealer responsável por 28.000 contas roubadas
2026-05-20
A polícia cibernética ucraniana, em cooperação com autoridades dos Estados Unidos, identificou um jovem de 18 anos da cidade de Odessa suspeito de operar um malware do tipo infostealer. O indivíduo é acusado de ter comprometido cerca de 28.000 contas de usuários de uma loja online localizada na Califórnia. O caso reforça a importância da colaboração internacional no combate a crimes cibernéticos e evidencia o crescente envolvimento de jovens em operações de malware como serviço (MaaS).
Hackers bypassam MFA de VPN SonicWall devido a patch incompleto
2026-05-20
Agentes de ameaça realizaram ataques de força bruta contra credenciais VPN e conseguiram contornar a autenticação multifator (MFA) em appliances SonicWall Gen6 SSL-VPN. A exploração foi possível devido a patches incompletos aplicados nos dispositivos. Após o acesso, os atacantes implantaram ferramentas utilizadas em ataques de ransomware. O incidente reforça a importância de garantir que atualizações de segurança sejam aplicadas de forma completa e verificada em dispositivos de acesso remoto.
Administrador da CISA vazou chaves AWS GovCloud no GitHub
2026-05-18
Um contratado da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) mantinha um repositório público no GitHub que expunha credenciais de contas AWS GovCloud com altos privilégios, além de dados de vários sistemas internos da agência. O repositório, removido no último fim de semana, também continha arquivos detalhando processos internos de desenvolvimento, testes e implantação de software da CISA. Especialistas em segurança classificaram o incidente como um dos vazamentos de dados governamentais mais graves dos últimos tempos.
Panorama de Ameaças no npm: Superfície de Ataque e Mitigações (Atualizado em 20 de Maio)
2026-05-20
A equipe Unit 42 da Palo Alto Networks publicou uma análise atualizada sobre a evolução dos ataques à cadeia de suprimentos do ecossistema npm, com foco nos desdobramentos após o caso ‘Shai Hulud’. O relatório aborda ameaças como malware com capacidade de autopropagação (wormable), técnicas de persistência em ambientes de CI/CD, ataques em múltiplos estágios e outros vetores que exploram pacotes npm maliciosos. O documento serve como referência para profissionais de segurança que desejam entender a superfície de ataque atual e adotar medidas de mitigação eficazes contra ameaças à cadeia de suprimentos de software.
Rastreamento de Clusters TamperedChef via Reutilização de Certificados e Código
2026-05-20
A equipe Unit 42 da Palo Alto Networks identificou e analisou clusters de malware denominados TamperedChef, que utilizam aplicativos de produtividade trojanizados e malvertising (publicidade maliciosa) como vetores de ataque para entregar payloads furtivos às vítimas. O rastreamento dos grupos foi possível por meio da análise de reutilização de certificados digitais e de código, técnica que permite correlacionar diferentes amostras e infraestruturas maliciosas a um mesmo agente ou campanha.
O Cenário de Ameaças no npm: Superfície de Ataque e Mitigações (Atualizado em 20 de Maio)
2026-05-20
A equipe Unit 42 da Palo Alto Networks analisou a evolução dos ataques à cadeia de suprimentos do npm após o caso Shai Hulud. O relatório aborda ameaças como malware com capacidade de autopropagação (wormable), persistência em pipelines de CI/CD e ataques em múltiplos estágios. O estudo destaca o crescente risco associado a pacotes maliciosos no ecossistema npm e apresenta recomendações de mitigação para desenvolvedores e equipes de segurança.
Rastreamento de Clusters TamperedChef via Reutilização de Certificados e Código
2026-05-20
Pesquisadores da Unit 42 (Palo Alto Networks) identificaram e analisaram clusters de malware denominados TamperedChef, que utilizam aplicativos de produtividade trojanizados e malvertising (publicidade maliciosa) como vetores de infecção para entregar payloads furtivos às vítimas. O rastreamento dos clusters foi possível por meio da análise de reutilização de certificados digitais e código, técnicas que permitem correlacionar diferentes amostras e campanhas maliciosas atribuídas ao mesmo grupo ou infraestrutura.
Seja o primeiro a comentar