A semana concentrou apreensão de fórum de ransomware, vulnerabilidades em controle de acesso Dormakaba, campanhas de phishing, abuso de SaaS, falha no núcleo Linux e novas pressões sobre identidade corporativa.
| Componente | RAMP, WhatsApp, categorias de produtos PQC, sistemas Dormakaba, domínios *.vercel[.]app, sites WordPress comprometidos, contas Meta Business, núcleo Linux e ambientes SSO/SaaS. |
| Vetor | Apreensão policial, alegações judiciais, migração criptográfica, falhas de autenticação e comando, phishing por recrutamento e cobrança, SEO poisoning, vishing e exploração de vulnerabilidade em React Server Components. |
| Impacto | Abertura remota de portas em sistemas físicos, coleta de credenciais, entrega de ferramenta de acesso remoto, tomada de contas comerciais, escalação local de privilégio e possível exfiltração em SaaS após acesso a SSO. |
| Prioridade | Aplicar correções de fornecedores, revisar exposição de identidade e MFA, caçar phishing com domínios hospedados em plataformas confiáveis, auditar controle de acesso físico e acelerar inventário para criptografia pós-quântica. |
| Artefatos | ramp4u[.]io, CVE-2025-59090 a CVE-2025-59109, CVE-2018-14634, create_elf_tables(), Kingdommarket[.]live, Kingdommarket[.]so e CVE-2025-55182. |
O boletim reúne eventos diferentes, mas conectados por uma mesma pressão operacional: acesso, identidade, confiança em plataformas legítimas e correção de software continuam sendo os pontos de maior atrito para equipes de segurança. A apreensão do fórum RAMP removeu um espaço relevante para economia criminosa ligada a ransomware, mas o próprio contexto indica que grupos como Nova e DragonForce podem migrar para espaços alternativos, o que reduz o efeito defensivo de longo prazo se a inteligência não acompanhar a recomposição desses mercados.
Na superfície técnica, os casos mais acionáveis envolvem falhas em sistemas Dormakaba, campanhas de phishing contra candidatos e contas Meta Business, abuso de domínios *.vercel[.]app, SEO poisoning por backlinks em sites legítimos comprometidos, uma vulnerabilidade antiga do núcleo Linux adicionada ao catálogo KEV e ataques de vishing contra SSO com inscrição de dispositivos controlados por operadores em MFA. Em paralelo, há temas estruturais: migração para criptografia pós-quântica, proteção de localização no iOS, endurecimento antirroubo no Android e dependência estatal de ferramentas de colaboração estrangeiras.
- Boletim classificado como recapitulação semanal de segurança, sem evidência de que todos os eventos tenham relação entre si.
- Eventos com ação defensiva imediata incluem Dormakaba, núcleo Linux, campanhas de phishing, SSO, Meta Business e React Server Components.
- Eventos de política e resiliência incluem PQC, videoconferência governamental francesa, privacidade de localização no iOS e proteção antirroubo no Android.
O FBI apreendeu o fórum RAMP, incluindo o serviço Tor e o domínio clearnet ramp4u[.]io, com banner de apreensão coordenado por órgãos do Departamento de Justiça dos Estados Unidos. O fórum havia sido lançado em julho de 2021 após Exploit e XSS proibirem promoção de operações de ransomware, criando um espaço voltado a atores que perderam canais de anúncio e negociação nesses mercados.
A remoção do fórum não encerra a capacidade operacional dos grupos que o usavam. O contexto aponta deslocamento de grupos como Nova e DragonForce para Rehub, o que significa que equipes de inteligência devem observar troca de identidades, novas regras de escrow, perda de reputação, tentativas de infiltração e mudanças nos nomes usados por vendedores. Esse tipo de transição costuma gerar ruído útil para atribuição, porque operadores precisam reconstruir confiança, comprovar histórico e restabelecer canais de contato.
- Monitorar menções a RAMP, Rehub, Nova e DragonForce em fontes autorizadas de inteligência.
- Revisar regras de detecção para domínios defangados, aliases e fóruns citados em relatórios internos.
- Tratar migração de fórum como mudança de infraestrutura criminosa, não como encerramento definitivo da ameaça.
Uma ação judicial nos Estados Unidos alegou que Meta e WhatsApp armazenam, analisam e poderiam acessar comunicações apresentadas como privadas. A controvérsia descrita no contexto gira em torno de uma diferença importante para avaliação de risco: uma proteção criptográfica que impediria acesso técnico às mensagens ou uma proteção governada por política interna, na qual empregados poderiam abrir exceções operacionais.
A contestação pública de Meta e do chefe do WhatsApp afirma que as chaves de criptografia ficam no telefone do usuário e que a empresa não teria acesso às mensagens. Para equipes de segurança corporativa, o ponto prático é separar alegação judicial de fato técnico confirmado. O cenário exige acompanhar documentação de criptografia, relatórios de transparência, fluxos de denúncia em chats e requisitos de retenção, sem presumir exposição de conteúdo quando o próprio material recebido apresenta a questão como disputa ainda não comprovada.
- Classificar o caso como alegação legal e técnica em disputa.
- Evitar decisões de arquitetura baseadas em premissas não comprovadas sobre acesso interno a mensagens.
- Revisar políticas corporativas para uso de mensageria em comunicações sensíveis.
A CISA publicou uma lista inicial de categorias de hardware e software que suportam ou devem suportar padrões de criptografia pós-quântica. As categorias citadas incluem serviços de nuvem, colaboração e software web, segurança de endpoint e hardware e software de rede. O objetivo é apoiar planejamento de migração e decisões de compra, especialmente para organizações que dependem de criptografia de chave pública em dados sensíveis.
A ameaça descrita não é exploração imediata de um produto específico, mas risco estratégico de confidencialidade, integridade e disponibilidade quando computadores quânticos criptograficamente relevantes forem capazes de quebrar formas clássicas de criptografia. O cenário de coleta agora e descriptografia futura, conhecido como HNDL, torna prioritário inventariar onde há dados com valor de sigilo prolongado, quais protocolos usam criptografia vulnerável e quais fornecedores já têm rota de compatibilidade com PQC.
- Mapear serviços de nuvem, VPN, colaboração, PKI, TLS interno e dispositivos de rede que dependem de criptografia de chave pública.
- Registrar fornecedores com suporte declarado ou planejado a PQC.
- Priorizar dados cujo sigilo precise sobreviver por anos.
Mais de 20 vulnerabilidades, de CVE-2025-59090 a CVE-2025-59109, foram identificadas em sistemas Dormakaba de controle de acesso físico. As falhas incluem credenciais e chaves de criptografia hard-coded, senhas fracas, falta de autenticação, geração insegura de senha, escalação local de privilégio, exposição de dados, path traversal e injeção de comando.
O impacto informado é material para segurança física: um atacante poderia abrir portas arbitrárias, reconfigurar controladores e periféricos conectados sem autenticação prévia e abusar de múltiplos caminhos de falha. Não há evidência no contexto de exploração em ambiente real, então a resposta deve focar inventário, atualização, segmentação e revisão de logs de controladores, sem tratar o caso como incidente confirmado em cada organização.
- Inventariar controladores Dormakaba e versões expostas em redes corporativas ou prediais.
- Aplicar atualizações e remover exposição direta de interfaces administrativas.
- Revisar eventos de abertura incomum, reconfiguração de controladores e autenticação ausente.
Uma campanha de phishing usa e-mails falsos de recrutamento que imitam empregadores e empresas de contratação, prometendo vagas fáceis, entrevistas rápidas e trabalho flexível. As mensagens aparecem em inglês, espanhol, italiano e francês, com adaptação ao local do destinatário, e miram usuários nos Estados Unidos, Reino Unido, França, Itália e Espanha. O clique leva a páginas falsas que coletam credenciais, capturam dados sensíveis ou redirecionam para conteúdo malicioso.
Outra campanha abusou da confiança em domínios *.vercel[.]app para atravessar filtros de e-mail com iscas financeiras, como faturas vencidas e documentos de envio, entre novembro de 2025 e janeiro de 2026. A cadeia inclui mecanismo de entrega condicionado por Telegram para dificultar análise automatizada e triagem por pesquisadores. O objetivo descrito é entregar GoTo Resolve, uma ferramenta legítima de acesso remoto, em contexto malicioso.
- Caçar mensagens de recrutamento com promessas genéricas de entrevista rápida e links de confirmação externos.
- Correlacionar acessos a subdomínios
vercel[.]apprecém-observados com anexos, faturas ou documentos de transporte. - Revisar instalação ou execução de GoTo Resolve fora de fluxo aprovado de suporte.
O mercado HxSEO, operado pelo grupo Haxor, oferece backlinks inseridos em domínios legítimos já comprometidos para melhorar a posição de páginas maliciosas em mecanismos de busca. Os domínios usados costumam ser antigos, com pontuação de confiança associada, e são alterados por meio de web shells que permitem publicar links para páginas escolhidas pelos compradores.
A técnica amplia phishing e entrega de malware porque faz páginas controladas por fraudadores aparecerem acima de resultados legítimos em buscas por termos sensíveis, como logins financeiros. O contexto indica foco em sites WordPress com falhas de plugins e componentes PHP vulneráveis, além de operação em Telegram e WhatsApp. Para defesa, a prioridade é combinar monitoramento de integridade web, reputação de backlinks, logs de alteração de arquivos e resposta rápida a web shells.
- Verificar arquivos PHP alterados, web shells e inserções de links em temas e plugins WordPress.
- Monitorar backlinks não autorizados apontando para páginas de login, bancos ou marcas sensíveis.
- Remover links injetados e corrigir plugins vulneráveis antes de solicitar reindexação.
Contas Meta Business pertencentes a agências de publicidade e gestores de redes sociais foram alvo de phishing voltado à tomada de controle. A mensagem cria urgência ao simular avisos de violação de política, problemas de propriedade intelectual ou atividade incomum, induzindo o destinatário a abrir um link falso para coleta de credenciais.
Após comprometimento, o operador altera informações de cobrança, adiciona cartões roubados ou virtuais, lança anúncios fraudulentos de criptomoedas ou investimentos falsos e remove administradores legítimos. O risco está na combinação de identidade, orçamento publicitário e permissões de administração, já que uma conta tomada pode continuar operando com aparência legítima enquanto consome verba e distribui golpes.
- Exigir MFA forte e revisão periódica de administradores em contas Meta Business.
- Alertar para mudança de cobrança, inclusão de cartões e remoção de administradores.
- Bloquear campanhas recém-criadas que promovam criptoativos ou investimento fora do fluxo aprovado.
A CISA adicionou CVE-2018-14634 ao catálogo de vulnerabilidades exploradas conhecidas, com prazo de correção para agências federais civis até 16 de fevereiro de 2026. A falha afeta a função create_elf_tables() no núcleo Linux e envolve estouro de inteiro que pode permitir a um usuário local sem privilégio escalar privilégios quando há acesso a binário SUID ou outro binário privilegiado.
O contexto não informa exploração em ambiente real no momento da publicação, apesar da entrada no KEV. O impacto defensivo continua relevante porque falhas locais antigas permanecem exploráveis em servidores sem manutenção, appliances, imagens legadas e ambientes onde binários privilegiados estão disponíveis a usuários ou processos de baixa confiança.
- Verificar versões de núcleo Linux em servidores, imagens douradas, appliances e containers privilegiados.
- Reduzir superfície de binários SUID desnecessários.
- Priorizar correção em sistemas com múltiplos usuários locais ou execução de workloads não confiáveis.
A Apple adiciona no iOS 26.3 uma configuração para limitar localização precisa disponível a redes celulares. Com a opção habilitada, operadoras compatíveis receberiam uma localização menos granular, como bairro em vez de endereço aproximado. O recurso depende de modelos e operadoras específicos, incluindo iPhone Air, iPhone 16e ou iPad Pro M5 Wi-Fi + Cellular em redes indicadas na Alemanha, Reino Unido, Estados Unidos e Tailândia.
A Apple também liberou iOS 12.5.8 e iOS 15.8.6 para estender o certificado digital necessário a recursos como iMessage, FaceTime e ativação de dispositivo após janeiro de 2027. Em outro eixo de resiliência, o governo francês anunciou plano para substituir Zoom, Microsoft Teams, Google Meet e Webex por Visio, alternativa nacional, com objetivo de reduzir dependência de infraestrutura externa e proteger trocas científicas, dados sensíveis e inovação estratégica.
- Atualizar dispositivos iOS legados que dependem de iMessage, FaceTime e ativação.
- Avaliar disponibilidade real do limite de localização precisa por operadora e modelo.
- Em órgãos públicos, mapear dados sensíveis tratados em videoconferência e dependência de provedores estrangeiros.
Polícias da Hungria e da Romênia prenderam quatro jovens suspeitos de ameaças de bomba, chamadas falsas de emergência e uso indevido de dados pessoais. A investigação começou após ligações para autoridades em julho de 2025. Os suspeitos abordavam vítimas no Discord, obtinham números de telefone e dados pessoais e usavam essas informações para registrar chamadas falsas em nome das vítimas.
Nos Estados Unidos, houve desdobramentos contra mercados darknet. Um operador ligado ao Empire Market declarou culpa por conspiração federal relacionada a drogas; o mercado operou entre 2018 e 2020 e facilitou mais de quatro milhões de transações avaliadas em mais de 430 milhões de dólares, incluindo credenciais comprometidas, dados pessoais roubados, moeda falsa e ferramentas de hacking. Em outro caso, Alan Bill admitiu envolvimento no Kingdom Market, ativo entre março de 2021 e dezembro de 2023, com venda de drogas e informações pessoais roubadas, além de domínios Kingdommarket[.]live e Kingdommarket[.]so apreendidos.
- Tratar exposição de telefone e dados pessoais em plataformas sociais como risco de abuso físico e operacional.
- Monitorar reutilização de credenciais originadas de mercados darknet em acessos corporativos.
- Defangar domínios de mercados em relatórios e impedir navegação ativa para infraestrutura apreendida ou criminosa.
Dados de dezembro de 2025 indicam média global de 2.027 ataques cibernéticos por organização por semana, com aumento mensal de 1% e anual de 9%. A América Latina teve o maior crescimento regional, com média de 3.065 ataques semanais por organização e alta anual de 26%. O setor de educação permaneceu como o mais visado, com média de 4.349 ataques semanais por organização; governos, associações, telecomunicações e energia também aparecem entre os setores proeminentes. Na América Latina, organizações de saúde e medicina foram os principais alvos.
No campo de fraude financeira, Jingliang Su foi sentenciado a 46 meses de prisão por participação em lavagem de mais de 36,9 milhões de dólares obtidos de vítimas em golpe de investimento com ativos digitais operado a partir de centros de scam no Camboja. A rede convenceu vítimas nos Estados Unidos a transferir fundos para contas controladas por cúmplices, que depois movimentavam o dinheiro por empresas de fachada, contas bancárias internacionais e carteiras de ativos digitais.
- Usar métricas regionais para calibrar capacidade de triagem em educação, saúde, governo e telecomunicações.
- Tratar golpes de investimento como risco de identidade, pagamentos, ativos digitais e engenharia social prolongada.
- Correlacionar denúncias de fraude com movimentação para empresas de fachada e carteiras digitais quando houver base legal.
O Google anunciou recursos adicionais de proteção contra roubo para Android 16 ou superior. As mudanças incluem controles granulares para Failed Authentication Lock, bloqueio após tentativas excessivas de autenticação, expansão do Identity Check para recursos e aplicativos que usam Android Biometric Prompt, maior tempo de bloqueio após tentativas de adivinhar PIN, padrão ou senha, e pergunta de segurança opcional para iniciar Remote Lock.
Uma campanha PureRAT mirou candidatos a emprego com arquivos ZIP maliciosos anexados a e-mails ou compartilhados por links para Dropbox. Ao abrir o arquivo, a cadeia usa DLL side-loading para iniciar um script em lote responsável pela execução do malware. Há sinais de que ferramentas da campanha tenham sido desenvolvidas com auxílio de IA, como comentários detalhados, etapas numeradas e mensagens de debug com instruções ao operador, incluindo comentários em vietnamita. Em ransomware, a família Sicarii apresentou falha crítica no processo de criptografia: o malware gera um novo par de chaves RSA localmente, usa esse material para criptografar e descarta a chave privada, tornando a recuperação inviável mesmo com pagamento.
- Bloquear anexos ZIP não solicitados em fluxos de recrutamento e revisar links para armazenamento em nuvem.
- Caçar DLL side-loading e scripts em lote originados de arquivos recebidos por e-mail.
- Em Sicarii, planejar recuperação por backup, porque o desenho descrito elimina caminho viável de descriptografia.
Uma nova onda de ataques de vishing mira ferramentas de single sign-on e resulta em roubo de dados e tentativas de extorsão. Os operadores combinam chamadas de voz com kits personalizados de phishing para obter acesso não autorizado e registrar dispositivos controlados pelo atacante em MFA. Após acesso inicial, a atividade observada inclui movimentação para ambientes SaaS e exfiltração de dados sensíveis.
A atividade também envolve painéis de phishing ao vivo, nos quais um operador humano interfere em uma sessão de login para interceptar credenciais e obter persistência. O contexto indica mais de 100 empresas de alto valor visadas por domínios falsos, mas ressalta que não está claro se todas foram efetivamente comprometidas. A defesa deve tratar SSO como plano de controle crítico e monitorar inscrição de novos fatores MFA, alteração de dispositivos confiáveis, logins assistidos por chamada telefônica e acesso SaaS incomum após contato de suporte ou segurança fraudulento.
- Alertar usuários de alto privilégio para chamadas que solicitem ação em MFA ou SSO.
- Bloquear autoinscrição de fatores MFA sem validação forte e registro auditável.
- Correlacionar novos dispositivos MFA com exportações, downloads em massa e acesso SaaS fora do padrão.
A falha CVE-2025-55182, também chamada de React2Shell, foi explorada contra empresas russas para instalar mineradores baseados em XMRig. O contexto também cita Kaiji, Rustobot e o implante Sliver como cargas observadas em ataques relacionados. Setores citados incluem habitação, finanças, infraestrutura urbana e serviços municipais, aeroespacial, serviços digitais ao consumidor, indústria química, construção e produção.
Como o trecho recebido termina antes de completar todos os detalhes da campanha, a análise defensiva deve se limitar aos fatos apresentados: exploração de falha em React Server Components, instalação de minerador e uso de cargas secundárias conhecidas. Em ambientes com aplicações React expostas, a prioridade é confirmar versões e correções, revisar logs de aplicação e infraestrutura, identificar processos de mineração, conexões incomuns, consumo anômalo de CPU e artefatos compatíveis com implantes ou botnets citados.
- Inventariar aplicações com React Server Components expostas à internet.
- Verificar atualização contra
CVE-2025-55182quando o componente estiver presente. - Caçar XMRig, Kaiji, Rustobot e Sliver apenas onde houver telemetria compatível, sem presumir comprometimento.
A resposta deve priorizar correções que reduzam risco comprovado e caminhos de acesso recorrentes. Para vulnerabilidades, isso significa patching e segmentação em Dormakaba, núcleo Linux e React Server Components. Para identidade, envolve endurecer MFA, controlar inscrição de dispositivos, revisar administradores Meta Business e treinar usuários contra vishing e phishing de recrutamento. Para web e marca, exige monitoramento de SEO poisoning, backlinks indevidos, web shells e páginas falsas hospedadas em plataformas legítimas.
O ponto comum é validar controles com telemetria, não apenas com política. Logs de SSO, SaaS, EDR, proxy, DNS, servidores web, controladores físicos e consoles de publicidade devem ser correlacionados por tempo, usuário, origem e mudança administrativa. Quando houver suspeita de tomada de conta, a contenção deve incluir revogação de sessões, rotação de credenciais, remoção de fatores MFA desconhecidos, revisão de integrações OAuth e verificação de exportações ou downloads em massa.
- Aplicar correções e isolar interfaces administrativas de controle físico e serviços expostos.
- Auditar fatores MFA, dispositivos confiáveis, administradores de contas comerciais e permissões SaaS.
- Monitorar domínios defangados, backlinks não autorizados, subdomínios
vercel[.]appsuspeitos e páginas de recrutamento falsas. - Usar backups testados para ransomware e não assumir que pagamento permite recuperação quando a criptografia descarta a chave privada.
- Planejar migração PQC com inventário criptográfico e critérios de compra para tecnologias compatíveis.
0 Comentários