A semana inclui exposição de dados em plataformas de atendimento e CRM, falhas de execução remota de código, implantes persistentes em firmware, uso de driver vulnerável para desativar EDR e campanha de espionagem com phishing judicial.
| Componente | Plataformas externas de atendimento, Salesforce CRM, sistemas eletrônicos judiciais, firmware Dell ControlVault3, Trend Micro Apex One, Cursor IDE, Raspberry Robin, driver ThrottleStop.sys e cadeia UAC-0099. |
| Vetor | Comprometimento de plataformas terceiras, abuso de acesso a CRM, phishing com arquivos HTA, alteração de configuração MCP, exploração de APIs e firmware, exploração de console de gerenciamento e carregamento de driver vulnerável. |
| Impacto | Exposição de dados pessoais e corporativos, acesso a documentos judiciais sigilosos, criptografia de servidores, execução de código, escalação de privilégio, persistência em firmware e desativação de soluções de segurança. |
| Prioridade | Revisar acessos de terceiros e CRM, aplicar correções de produtos afetados, auditar endpoints com drivers vulneráveis, caçar alterações MCP suspeitas e validar resets de credenciais nos ambientes citados. |
| Artefatos | CVE-2025-54136, CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922, CVE-2025-24919, CVE-2025-54987, CVE-2025-54948, CVE-2024-38196, CVE-2025-7771, MATCHBOIL, MATCHWOK, DRAGSTARE. |
| Mitigação | Aplicar atualizações disponíveis, remover exposição desnecessária de consoles administrativos, rotacionar credenciais afetadas, revisar logs de SaaS e identidade, bloquear execução de HTA quando possível e monitorar drivers carregados no núcleo. |
A semana concentra incidentes em três classes de risco operacional: vazamentos originados em plataformas externas ou SaaS, falhas críticas com possibilidade de execução de código e cadeias de malware voltadas a persistência, evasão e espionagem. Os casos de Air France, Google, Bouygues Telecom, Pandora, PBS e University of Western Australia mostram a dependência de ambientes de atendimento, CRM, identidade e diretórios de usuários como pontos de coleta de dados. Mesmo quando não há confirmação de senha, cartão ou documento financeiro exposto, nomes, emails, telefones, detalhes de programas de fidelidade, notas comerciais e vínculos corporativos continuam úteis para phishing direcionado, fraude de suporte, enumeração de contas e engenharia social contra help desks.
No eixo de exploração técnica, CVE-2025-54136 no Cursor IDE depende de uma condição específica: o usuário aprova inicialmente um plugin MCP aparentemente benigno e, depois disso, um invasor com capacidade de escrita no projeto altera comandos MCP para obter execução de código quando o projeto é aberto novamente. O conjunto ReVault em Dell ControlVault3 amplia o risco por envolver firmware e APIs Windows associadas, com efeitos que incluem execução arbitrária, implante persistente e escalação de privilégio. Em paralelo, falhas críticas no Trend Micro Apex One management console, CVE-2025-54987 e CVE-2025-54948, já têm exploração ativa, o que torna a exposição de consoles administrativos um ponto de resposta imediata.
O incidente da Air France envolve acesso não autorizado a dados de clientes por meio de uma plataforma externa de atendimento ao consumidor. O conjunto exposto inclui nomes, endereços de email, números de telefone, detalhes do programa de fidelidade e transações recentes. O dado técnico mais importante é a intermediação por uma plataforma de terceiros: a superfície afetada não se limita ao domínio principal da companhia, mas inclui integrações, contas de operadores, conectores de suporte, permissões de exportação e trilhas de auditoria mantidas no fornecedor.
Como não houve indicação de exposição de dados financeiros ou dados pessoais sensíveis, a prioridade defensiva é conter uso secundário dos dados de contato. Equipes de segurança devem revisar logs de acesso da plataforma de atendimento, identificar exportações anormais, mudanças de permissão, sessões vindas de países ou ASN incomuns e acessos fora do horário operacional. Também é necessário alinhar comunicação antifraude, porque detalhes de fidelidade e transações recentes podem tornar abordagens de phishing mais convincentes.
- Revisar contas de atendimento com permissão de exportação.
- Procurar acessos incomuns a perfis de clientes e histórico de transações.
- Monitorar campanhas que usem dados de fidelidade como isca.
O vazamento associado ao Google expôs aproximadamente 2,55 milhões de registros de contatos comerciais armazenados em Salesforce CRM. Os dados descritos incluem nomes de empresas, telefones e notas de vendas relacionadas a potenciais clientes de Google Ads. A atividade foi vinculada a ShinyHunters, com possível relação com Scattered Spider, e envolveu extorsão e ameaça de publicação dos dados roubados. A atribuição deve ser tratada com cuidado operacional, mas os artefatos do caso apontam para abuso de CRM e monetização por pressão pública.
O impacto prático recai sobre prospecção comercial, suporte falso, fraude B2B e ataques contra equipes de marketing e vendas. Notas de vendas podem revelar contexto de negociação, intenção de compra, porte da empresa e nomes de interlocutores, o que aumenta a qualidade de phishing e vishing. A resposta deve incluir revisão de logs do Salesforce, aplicações conectadas, tokens OAuth, permissões de API, exportações em massa, alterações de perfil e acessos por contas com privilégios comerciais elevados.
- Auditar
Connected Apps, tokens OAuth e sessões ativas no Salesforce. - Verificar relatórios exportados, consultas em massa e criação de usuários ou perfis.
- Reforçar validação de identidade em contatos comerciais iniciados por telefone.
A Bouygues Telecom confirmou acesso não autorizado a dados pessoais de 6,4 milhões de contas de clientes, afetando parte da base móvel e de fibra residencial. O material disponível descreve exposição de dados pessoais limitados, sem detalhar todos os campos. Para uma operadora, mesmo conjuntos reduzidos podem ser úteis para fraude de portabilidade, golpes de suporte, tomada de conta por engenharia social e correlação com bases vazadas anteriores. A investigação defensiva deve se concentrar em consultas anormais a bases de clientes, integrações de atendimento e sistemas de provisionamento.
A Pandora teve dados extraídos de sua base Salesforce, incluindo nomes, datas de nascimento e emails de clientes, sem exposição de senhas, documentos de identidade ou dados financeiros. A PBS registrou exposição de informações corporativas de 3.997 funcionários e afiliados, como nomes, emails corporativos, cargos, departamentos, localidades, hobbies e nomes de supervisores. Os dois casos reforçam o valor de dados aparentemente administrativos: data de nascimento, hierarquia interna, departamento e preferências pessoais podem alimentar perguntas de segurança fracas, mensagens de spear phishing e personificação de gestores.
- Correlacionar acessos SaaS com alterações recentes de permissões.
- Caçar exportações CSV, integrações novas e consultas de alto volume.
- Atualizar regras de detecção para abuso de contas comerciais e de suporte.
O Judiciário Federal dos Estados Unidos confirmou acesso não autorizado aos sistemas eletrônicos de gestão de casos. O impacto descrito inclui exposição de documentos judiciais confidenciais, com arquivos selados sensíveis e possível revelação de identidades de informantes confidenciais. Diferente de um vazamento cadastral comum, esse tipo de incidente afeta confidencialidade processual, proteção de testemunhas, estratégia legal e segurança física de pessoas citadas em documentos protegidos.
A resposta técnica precisa separar o escopo por repositórios, tipos de caso, permissões de leitura e contas que acessaram documentos selados. Em sistemas judiciais, logs de download, visualização, pesquisa e autenticação têm valor central para reconstruir o caminho de acesso. Também é necessário revisar contas privilegiadas, integrações de escritórios, tokens de acesso, autenticação multifator e mecanismos de segregação entre documentos públicos, restritos e selados.
- Priorizar auditoria de acessos a documentos selados.
- Verificar contas com leitura em massa ou consultas fora do padrão.
- Preservar logs de aplicação, identidade e download para análise forense.
A Pakistan Petroleum Limited sofreu um ataque que paralisou sistemas de TI, criptografou servidores, bloqueou backups e suspendeu operações financeiras por dois dias. Dados operacionais, contratos e informações de funcionários foram exfiltrados e mantidos sob extorsão. O grupo Blue Locker reivindicou responsabilidade. O caso apresenta um padrão de dupla extorsão com impacto direto em disponibilidade, continuidade financeira e exposição de informações sensíveis de operação e recursos humanos.
A University of Western Australia registrou acesso não autorizado a informações de senha de milhares de funcionários e estudantes. A resposta envolveu bloqueio de todos os usuários e redefinição obrigatória de senhas, sem evidência informada de comprometimento adicional de dados ou sistemas. O ponto técnico a validar é o formato da informação de senha acessada, a origem do repositório afetado, a cobertura de MFA e a possibilidade de reutilização de credenciais em serviços externos, VPN, email, plataformas de ensino e sistemas administrativos.
- Validar restauração de backups fora do domínio comprometido.
- Rotacionar credenciais administrativas e chaves usadas por serviços críticos.
- Monitorar reutilização de senha em VPN, email e provedores de identidade.
A vulnerabilidade CVE-2025-54136 no Cursor IDE decorre de validação insuficiente em mudanças de configuração do Model Context Protocol. Depois de uma aprovação inicial de plugin MCP benigno, um invasor com escrita no projeto consegue alterar comandos e alcançar execução de código quando a vítima reabre o projeto, sem novo prompt. O risco é maior em repositórios compartilhados, ambientes de desenvolvimento com sincronização automática e fluxos nos quais arquivos de configuração são considerados parte confiável do projeto.
O conjunto ReVault inclui CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922 e CVE-2025-24919, afetando firmware Dell ControlVault3 e APIs Windows associadas. Os impactos descritos incluem execução arbitrária, implantes persistentes em firmware e escalação de privilégio, com possibilidade de contornar autenticação do Windows e sobreviver a reinstalações do sistema operacional. Já CVE-2025-54987 e CVE-2025-54948 no console de gerenciamento do Trend Micro Apex One têm gravidade crítica, CVSS 9.4, e exploração ativa. Consoles de segurança expostos ou acessíveis por redes amplas devem ser tratados como ativos de alto risco.
- Procurar alterações em arquivos de configuração MCP dentro de repositórios.
- Aplicar atualizações de firmware, drivers e APIs associadas ao ControlVault3.
- Restringir o acesso ao console do Apex One e aplicar as correções disponíveis.
Atualizações recentes no Raspberry Robin indicam evolução de técnicas de ofuscação e criptografia de rede. O downloader, ativo desde 2021, passou de AES-CTR para ChaCha-20 e adicionou contadores e nonces randomizados por requisição. A cadeia também usa ponteiros de pilha ofuscados, loops de inicialização complexos para dificultar força bruta de descriptografia, estruturas RC4 modificadas e exploração local de privilégio por CVE-2024-38196. Para defesa, isso reduz a eficácia de assinaturas simples baseadas em conteúdo estático e aumenta a importância de telemetria comportamental.
Outro malware analisado abusa do driver legítimo ThrottleStop.sys, associado a CVE-2025-7771, em uso desde pelo menos outubro de 2024. A entrega conjunta do malware com o driver vulnerável permite usar duas interfaces IOCTL expostas para leitura e escrita arbitrárias de memória física via MmMapIoSpace. Com esse acesso, o código obtém capacidade privilegiada no núcleo para localizar e encerrar processos de antivírus e EDR. A contenção deve considerar bloqueio de drivers vulneráveis, inventário de drivers carregados e alertas para terminação coordenada de processos de segurança.
- Monitorar carregamento de
ThrottleStop.sysem endpoints sem justificativa operacional. - Alertar para chamadas IOCTL anômalas e uso de
MmMapIoSpace. - Caçar padrões de comunicação com ChaCha-20, nonces por requisição e comportamento de downloader.
A campanha UAC-0099 usa isca de intimação judicial e começa com emails de phishing enviados via UKR.NET. A carga inicial entrega arquivos HTA com VBScript ofuscado, responsáveis por gravar arquivos, criar tarefas agendadas e implantar o loader C# MATCHBOIL. A cadeia prossegue com o backdoor MATCHWOK e o stealer DRAGSTARE. O fluxo combina engenharia social temática, execução por script nativo do Windows, persistência por agendamento e separação de funções entre loader, backdoor e componente de coleta.
A defesa deve observar anexos ou links que levem a HTA, execução de mshta.exe, criação de tarefas agendadas logo após abertura de email, gravação de arquivos em diretórios de usuário e processos .NET iniciados por scripts. Como a atribuição se concentra em uma campanha de espionagem, os sinais de rede e host devem ser correlacionados com usuários que receberam mensagens de intimação, especialmente em organizações ucranianas ou entidades que interagem com processos legais relacionados à região.
- Bloquear ou restringir execução de HTA quando não houver necessidade de negócio.
- Alertar para
mshta.execriando processos filhos, arquivos e tarefas agendadas. - Investigar presença de
MATCHBOIL,MATCHWOKeDRAGSTAREem hosts expostos a phishing.
A telemetria deve cobrir SaaS, endpoint, identidade, rede e repositórios de código. Nos casos de CRM e atendimento, o foco é detectar acesso a grandes volumes de registros, criação de relatórios incomuns, exportações fora de janelas de trabalho, uso de contas de suporte por localizações atípicas e instalação de integrações OAuth sem aprovação. Em ambientes de desenvolvimento, mudanças em configurações MCP precisam entrar no mesmo processo de revisão de código que scripts de build, hooks e arquivos de automação, porque a execução ocorre no contexto do usuário que abre o projeto.
Em endpoints Windows, a investigação deve priorizar carregamento de drivers vulneráveis, terminação de processos de segurança, criação de tarefas agendadas por scripts e execução de HTA. Para firmware e componentes de autenticação, sinais podem ser menos visíveis no sistema operacional; por isso, inventário de modelo, versão de firmware, pacotes Dell aplicados e eventos de autenticação anômalos devem ser correlacionados. Em consoles de gerenciamento, qualquer exploração ativa exige retenção de logs, comparação de configurações, revisão de contas administrativas e busca por web shells, comandos remotos ou alterações não autorizadas.
- Exportações ou consultas em massa em Salesforce e plataformas de atendimento.
- Alterações em configurações MCP após aprovação inicial de plugin.
- Carregamento de
ThrottleStop.syse encerramento simultâneo de agentes EDR. - Execução de HTA, VBScript ofuscado e criação de tarefas agendadas.
- Acesso administrativo incomum ao Trend Micro Apex One management console.
A resposta deve começar por ativos com exploração ativa ou impacto persistente: corrigir o Trend Micro Apex One, restringir o console a redes administrativas, aplicar atualizações de Dell ControlVault3 e revisar endpoints compatíveis com o firmware afetado. Em paralelo, organizações que usam Cursor IDE com MCP devem tratar arquivos de configuração como superfície de execução, revisar alterações recentes, bloquear comandos inesperados e exigir nova validação quando plugins ou comandos forem modificados. Onde houver suspeita de SaaS comprometido, revogar sessões, rotacionar tokens, revisar permissões e auditar integrações é mais efetivo do que apenas redefinir senhas.
Para incidentes de dados, a ação defensiva deve ser orientada pelo tipo de informação exposta. Dados de contato, notas comerciais, datas de nascimento e hierarquia corporativa exigem endurecimento contra phishing, suporte fraudulento e tomada de conta por engenharia social. Para ransomware e exfiltração, validar backups imutáveis, segmentação, restauração e rotação de credenciais administrativas é prioritário. Para malware com driver vulnerável e campanhas HTA, aplicar políticas de bloqueio de driver, controles de execução de scripts e regras de detecção em endpoint reduz o caminho de execução antes que o invasor alcance privilégio no núcleo ou persistência por tarefas.
- Aplicar correções e restringir consoles administrativos expostos.
- Revogar tokens e sessões SaaS associados a acessos anômalos.
- Revisar configurações MCP e remover comandos não aprovados.
- Bloquear drivers vulneráveis e monitorar chamadas de baixo nível ao núcleo.
- Executar redefinição de credenciais quando houver exposição de senha ou risco de reutilização.
0 Comentários