A semana inclui acesso indevido ao registro bancário francês, ransomware em saúde e semicondutores, exploração de Dell RecoverPoint for VMs, falha zero-day no Chrome e campanhas contra desenvolvedores, FortiGate, Jira Cloud e Booking.com.
| Componente | Registro bancário FICOBA, redes corporativas, ambientes VMware, npm, Android, FortiGate, Veeam, Chrome, Microsoft 365 Copilot, Jira Cloud e domínios de phishing |
| Vetor | Credenciais comprometidas, acesso não autorizado de terceiros, exploração de vulnerabilidades, pacotes typosquatted, abuso de automações SaaS, páginas web maliciosas e uso indevido de recursos de navegação em assistentes de IA |
| Impacto | Exposição de dados pessoais e bancários, interrupção operacional, execução remota de código, persistência em virtualização, roubo de segredos de desenvolvimento, exfiltração de credenciais e contorno de controles de DLP |
| Prioridade | Corrigir versões afetadas, revogar credenciais expostas, revisar acessos privilegiados, auditar integrações SaaS, investigar telemetria de endpoint, identidade, rede, CI/CD e hipervisores |
| Versões | Dell RecoverPoint for VMs anterior a 6.0.3.1, Grandstream GXP1600 corrigido no firmware 1.0.7.81 e Google Chrome anterior a 145.0.7632.75 |
| Artefatos | CVE-2024-40711, CVE-2026-22769, CVE-2026-2329, CVE-2026-2441, CVE-2023-27532, SLAYSTYLE, BRICKSTORM, GRIMBOLT, Keenadu e Arkanix Stealer |
A semana de 23 de fevereiro concentrou incidentes em três frentes operacionais: comprometimento de dados por credenciais ou terceiros, exploração de vulnerabilidades em produtos expostos e uso de serviços confiáveis como infraestrutura de ataque. Os casos abrangem governo, saúde, semicondutores, banco central, virtualização, telefonia IP, navegadores, SaaS corporativo, ecossistemas de pacotes e dispositivos Android distribuídos por cadeia de suprimentos.
O padrão comum é a combinação de acesso inicial por identidade, falhas corrigíveis e confiança implícita em plataformas legítimas. Para defesa, o ponto crítico não é tratar os eventos como alertas isolados, mas correlacionar autenticação anômala, execução de payloads, mudanças de configuração, exfiltração por APIs e alterações em pipelines. A resposta deve priorizar inventário de ativos expostos, atualização de versões vulneráveis, revisão de permissões e validação de telemetria em camadas que normalmente não recebem a mesma atenção que endpoints tradicionais.
O Ministério da Economia da França divulgou acesso não autorizado ao registro nacional de contas bancárias FICOBA, com impacto em informações associadas a 1,2 milhão de contas. Os dados expostos incluem nomes, endereços, identificadores de contas e, em alguns casos, identificadores relacionados a impostos. A intrusão foi atribuída ao uso de credenciais governamentais comprometidas, o que indica falha no controle de identidade ou no monitoramento de uso dessas credenciais em sistemas sensíveis.
A superfície defensiva envolve trilhas de auditoria de autenticação, consultas em massa ao registro e comportamento fora do perfil normal de contas administrativas ou de serviço. Organizações que consomem ou integram dados bancários e fiscais devem revisar logs de acesso, identificar consultas volumétricas, validar origem de sessões e conferir se credenciais com acesso a cadastros críticos possuem autenticação forte, limitação por escopo e alertas para uso fora de horário, geografia ou aplicação esperada.
- Acesso indevido a dados de 1,2 milhão de contas no FICOBA
- Exposição de nomes, endereços, identificadores de contas e identificadores fiscais em parte dos registros
- Uso de credenciais governamentais comprometidas como condição do incidente
A Advantest Corporation sofreu acesso não autorizado por terceiro em 15 de fevereiro, seguido pela implantação de ransomware em partes da rede. O impacto confirmado envolve porções internas do ambiente, enquanto a eventual exposição de dados de clientes ou funcionários permaneceu indefinida no material recebido. O fluxo técnico sugere comprometimento inicial, movimentação interna suficiente para alcançar sistemas executáveis e posterior acionamento de criptografia ou carga de ransomware.
A investigação deve concentrar-se em identidade, execução remota, compartilhamentos administrativos, servidores de arquivos e sistemas de gerenciamento que possam ter servido de caminho para implantação. Como a empresa atua no setor de tecnologia e semicondutores, também é necessário separar impacto de TI corporativa de possíveis conexões com ambientes de engenharia, propriedade intelectual, builds, repositórios e sistemas de produção, sem assumir comprometimento desses ativos quando não houver evidência.
- Acesso não autorizado por terceiro em 15 de fevereiro
- Ransomware implantado em segmentos da rede
- Possível impacto em sistemas internos, com dados de clientes ou funcionários ainda não confirmados
O University of Mississippi Medical Center enfrentou ransomware com efeito direto sobre operações clínicas. O incidente levou ao fechamento de unidades da rede de clínicas, interrupção no acesso a prontuários eletrônicos, cancelamento de procedimentos eletivos e adoção de processos manuais. A organização retirou sistemas do ar, e não houve atribuição pública a um grupo específico no material analisado.
Em ambientes de saúde, o impacto técnico se transforma rapidamente em risco operacional porque prontuários, agendamento, laboratório, farmácia e faturamento dependem de disponibilidade e integridade. A resposta exige segmentação entre sistemas clínicos e administrativos, validação de backups offline, conferência de acessos remotos, caça por ferramentas de movimento lateral e preservação de evidências antes de reconstruções. A ausência de reivindicação por grupo não reduz a necessidade de investigar exfiltração antes da criptografia.
- Interrupção de prontuários eletrônicos
- Fechamento de clínicas e cancelamento de procedimentos eletivos
- Operação temporária com processos manuais
O Banco Nacional da Ucrânia sofreu um incidente de cadeia de suprimentos em um contratado responsável pela loja online de moedas colecionáveis. A exposição incluiu dados de cadastro de clientes, como nomes, e-mails, telefones e endereços de entrega. O banco informou que informações de pagamento não foram afetadas, o que delimita o impacto conhecido ao conjunto de dados cadastrais mantidos ou processados pelo fornecedor.
A defesa em incidentes desse tipo depende de governança sobre terceiros e de segregação de dados por finalidade. Equipes devem revisar contratos de processamento, logs de exportação, acesso administrativo do fornecedor, integrações de pagamento e fluxos de notificação. Mesmo sem exposição de cartão ou pagamento, nomes, contatos e endereços de entrega permitem phishing direcionado, engenharia social contra compradores e tentativas de tomada de conta em serviços relacionados.
- Fornecedor da loja online como ponto afetado
- Exposição de dados cadastrais de clientes
- Informações de pagamento não indicadas como afetadas
Pesquisadores demonstraram uma técnica que transforma assistentes de IA com navegação web, incluindo Grok e Microsoft Copilot, em proxies encobertos de comando e controle. O abuso ocorre quando o malware envia dados do host em parâmetros de consulta de URL e recupera comandos por resumos gerados pelo assistente. O uso de um WebView2 oculto reduz a visibilidade para controles que classificam tráfego de IA como benigno ou difícil de inspecionar.
O ponto técnico relevante é que a infraestrutura de C2 deixa de depender apenas de domínios controlados pelo atacante e passa a atravessar serviços de alto nível de confiança. A detecção precisa observar processos que instanciam componentes de navegação embutidos, chamadas incomuns para endpoints de assistentes, URLs com parâmetros de alta entropia, padrões de consulta repetitivos e respostas de IA consumidas por processos que não fazem parte de fluxos interativos normais do usuário.
- Exfiltração por parâmetros de URL
- Recuperação de comandos em resumos gerados por IA
- Execução por
WebView2oculto
Um ator financeiramente motivado de língua russa usou ferramentas comerciais de IA generativa em abuso massivo de credenciais contra 600 dispositivos FortiGate em 55 países entre 11 de janeiro e 18 de fevereiro de 2026. A operação também mirou servidores Veeam, com exploração de CVE-2023-27532 e CVE-2024-40711. A combinação de perímetro VPN, backup e credenciais amplia o risco porque permite acesso inicial, coleta de segredos e ataque a mecanismos de recuperação.
A investigação deve correlacionar autenticações em FortiGate, alterações de configuração, criação de usuários, conexões VPN de origens incomuns e acessos a servidores Veeam. Em Veeam, a prioridade é verificar versão, exposição de consoles, logs de API, contas com privilégio, leitura de configurações e uso indevido de credenciais armazenadas. Backups devem ser tratados como ativo crítico de segurança, não apenas como serviço de continuidade.
- 600 dispositivos FortiGate em 55 países
- Período observado de 11 de janeiro a 18 de fevereiro de 2026
- Exploração de
CVE-2023-27532eCVE-2024-40711contra Veeam
Foi identificado um worm de cadeia de suprimentos semelhante ao Shai-Hulud, distribuído por pacotes npm typosquatted. A carga rouba segredos de desenvolvedores e de ambientes de CI, exfiltra por GitHub API com fallback por DNS e propaga por envenenamento de workflows e hooks Git. O material também descreve injeção em servidores MCP para atingir assistentes de codificação com IA e coletar chaves de APIs de modelos.
O caminho de execução é especialmente perigoso porque combina instalação de dependência, execução de scripts de pacote, persistência em automação de repositório e roubo de credenciais usadas por pipelines. A defesa deve revisar package-lock.json, npm-shrinkwrap.json, caches de runners, tokens de GitHub, variáveis de CI/CD, hooks locais e mudanças inesperadas em workflows. Segredos expostos precisam ser rotacionados, não apenas removidos do código.
- Pacotes npm typosquatted
- Exfiltração por GitHub API e fallback por DNS
- Poisoning de workflows, hooks Git e servidores MCP
Dell RecoverPoint for VMs foi afetado por CVE-2026-22769, com pontuação CVSS 10.0, em versões anteriores a 6.0.3.1. A falha foi explorada como zero-day desde meados de 2024 por um grupo suspeito chinês identificado como UNC6201. O acesso explorava credenciais Tomcat hardcoded para obter acesso root sem autenticação, com implantação de SLAYSTYLE, BRICKSTORM e do backdoor GRIMBOLT.
O impacto é elevado porque o produto está ligado a recuperação e replicação em ambientes VMware. Os atacantes criaram Ghost NICs para pivotar e manter persistência no ambiente virtualizado. Equipes devem procurar interfaces de rede virtuais inesperadas, contas ou processos Tomcat anômalos, alterações em appliances, comunicação associada aos artefatos citados e persistência em objetos de virtualização. A atualização para 6.0.3.1 ou superior deve ser acompanhada de revisão forense, pois exploração histórica pode sobreviver à aplicação de patch.
CVE-2026-22769comCVSS 10.0- Versões anteriores a
6.0.3.1afetadas - Uso de
SLAYSTYLE,BRICKSTORM,GRIMBOLTe Ghost NICs
A série Grandstream GXP1600 possui CVE-2026-2329, uma vulnerabilidade crítica de estouro de buffer baseado em pilha na API web, explorável sem autenticação e capaz de permitir execução remota de código como root. Em telefones VoIP, esse tipo de falha expõe não apenas o dispositivo, mas também credenciais SIP, rotas de proxy e fluxos de chamada.
A exploração pode levar a roubo de credenciais, reconfiguração de proxy SIP e interceptação encoberta de chamadas. A correção está no firmware 1.0.7.81. Operadores devem inventariar aparelhos expostos, bloquear acesso à interface web a partir de redes não administrativas, revisar configurações SIP, procurar alterações de proxy e validar logs de chamadas para desvios, destinos incomuns ou comportamento incompatível com o perfil da extensão.
CVE-2026-2329na API web- Execução remota de código como root sem autenticação
- Firmware
1.0.7.81corrige a falha
Uma falha no Microsoft 365 Copilot permite que o recurso Work Tab Chat resuma e-mails protegidos por rótulos de confidencialidade, contornando políticas de Data Loss Prevention configuradas. O defeito ocorre no nível de código e permite acesso a conteúdo rotulado em pastas Sent Items e Draft, com exposição do conteúdo restrito em respostas geradas por IA.
O risco está na quebra de expectativa entre classificação da informação e consumo por assistente. Equipes de segurança devem auditar consultas do Copilot, permissões de usuários com acesso a caixas compartilhadas, rótulos de confidencialidade aplicados a mensagens enviadas ou rascunhos e eventos de DLP que não impediram a geração de resumo. A mitigação operacional passa por restringir uso do recurso em grupos sensíveis até que a correção esteja validada e por revisar conteúdo rotulado acessível a usuários com permissões amplas.
- Contorno de DLP em conteúdo com rótulo de confidencialidade
- Exposição via resumos do Work Tab Chat
- Pastas Sent Items e Draft citadas como locais afetados
O Google corrigiu CVE-2026-2441, uma falha de alta severidade no componente CSS do Chrome, confirmada como explorada em ambiente real. A vulnerabilidade é um use-after-free em versões anteriores a 145.0.7632.75 e pode permitir execução remota de código dentro do sandbox do navegador por meio de uma página criada para acionar a condição de memória.
A prioridade defensiva é atualizar navegadores gerenciados e validar cobertura em dispositivos fora do domínio, perfis de usuários privilegiados e estáções usadas para administração. Para hunting, devem ser analisados acessos a páginas suspeitas antes da atualização, crashes do processo do navegador, criação de processos filhos incomuns e telemetria de exploração bloqueada por EDR. A execução dentro do sandbox não elimina o risco, pois cadeias reais podem combinar a falha com escape posterior não descrito no material analisado.
CVE-2026-2441no componente CSS- Chrome anterior a
145.0.7632.75afetado - Exploração por página criada para acionar use-after-free
Keenadu foi descrito como backdoor em firmware Android entregue por comprometimento de cadeia de suprimentos. A carga usa payloads cifrados com RC4, carregamento dinâmico por DexClassLoader e frameworks de bypass de permissões para fraude publicitária, sequestro de busca e monetização. O material relaciona a atividade a Triada e BADBOX, o que aponta para abuso de dispositivos já distribuídos ou preparados antes do uso final.
Arkanix Stealer foi analisado como infostealer MaaS com implantes em Python e C++, configuração dinâmica no lado servidor e módulos como ChromElevator e HVNC. A operação usa iscas de phishing, coleta dados de 22 navegadores, Telegram, Discord, VPNs, jogos e carteiras cripto. A contenção deve considerar bloqueio de persistência, coleta de artefatos de navegador, rotação de tokens de sessão e verificação de acesso remoto oculto por HVNC.
- Keenadu usa RC4,
DexClassLoadere bypass de permissões - Arkanix Stealer possui implantes em Python e C++
- Alvos incluem navegadores, mensageiros, VPNs, jogos e carteiras cripto
Uma campanha de spam abusou de notificações do Atlassian Jira Cloud para atravessar filtros de e-mail usando domínios confiáveis atlassian.net com autenticação SPF e DKIM válida. Os operadores criaram instâncias trial rapidamente, usaram Jira Automation e distribuíram iscas localizadas por meio do Keitaro TDS, com foco em setores governamentais e corporativos.
Outra campanha, ativa desde janeiro de 2026, usou tema Booking.com contra parceiros de hotelaria e hóspedes. A cadeia possui três estágios, domínios semelhantes e homógrafos IDN, fingerprinting de visitantes com páginas-isca, tomada de contas de parceiros e mensagens via WhatsApp para conduzir vítimas a falsos portais de pagamento protegidos por Cloudflare CAPTCHA. A defesa deve tratar remetente legítimo e CAPTCHA como sinais insuficientes de confiança.
- Abuso de Jira Automation e domínios
atlassian.net - Uso de Keitaro TDS para distribuição de iscas
- Homógrafos IDN, fingerprinting e WhatsApp na campanha Booking.com
A caça deve começar por correlação de identidade, porque vários casos dependem de credenciais comprometidas ou permissões confiáveis. Em ambientes corporativos, procure autenticações fora do padrão em VPNs, FortiGate, Veeam, Microsoft 365, Jira Cloud, consoles de virtualização, fornecedores e aplicações administrativas. Em endpoints, priorize execução de navegadores embutidos, WebView2 oculto, processos Python ou C++ desconhecidos, alterações de proxy SIP, crashes do Chrome e criação de processos filhos fora do comportamento normal.
Em repositórios e CI/CD, revise mudanças em workflows, hooks Git, dependências npm com nomes semelhantes aos legítimos, chamadas incomuns para GitHub API, consultas DNS de alta entropia e acesso a variáveis de segredo. Em VMware, investigue Ghost NICs, appliances de recuperação, credenciais Tomcat, conexões laterais e persistência em interfaces virtuais. Em e-mail e SaaS, análise notificações legítimas usadas como veículo, instâncias trial criadas em massa, automações recém-configuradas e links que passam por TDS ou páginas com fingerprinting.
- Autenticações anômalas em VPN, backup, SaaS e consoles administrativos
- URLs com parâmetros de alta entropia e chamadas incomuns a assistentes de IA
- Alterações em workflows, hooks Git, pacotes npm e tokens de CI/CD
- Ghost NICs, mudanças em appliances VMware e processos Tomcat inesperados
- Mensagens Jira Cloud, domínios IDN homógrafos e fluxos com Cloudflare CAPTCHA antes de falso pagamento
A ordem de resposta deve separar correções imediatas de investigação de comprometimento. Atualize Dell RecoverPoint for VMs para 6.0.3.1 ou superior, aplique o firmware 1.0.7.81 nos telefones Grandstream GXP1600, atualize o Chrome para versão igual ou superior a 145.0.7632.75 e verifique exposição de Veeam contra CVE-2023-27532 e CVE-2024-40711. Nos casos de exploração já observada, aplicar patch sem caça posterior é insuficiente.
Credenciais devem ser rotacionadas quando houver indício de exposição, especialmente tokens de CI/CD, chaves de GitHub, contas de Veeam, VPN, administradores de SaaS, APIs de LLM e credenciais SIP. Em Microsoft 365, restrinja temporariamente o uso do Copilot em dados sensíveis quando necessário e audite conteúdo rotulado em Sent Items e Draft. Em fornecedores, exija logs, escopo de dados processados, validação de segregação e evidência de contenção. Em campanhas de phishing e spam, ajuste detecções para comportamento e cadeia de redirecionamento, não apenas reputação de remetente.
- Aplicar correções de produto e confirmar versão efetiva nos ativos inventariados
- Revogar e recriar segredos de desenvolvimento, tokens de API, contas privilegiadas e credenciais SIP quando houver risco de exposição
- Auditar fornecedores com acesso a dados cadastrais, financeiros ou operacionais
- Bloquear interfaces administrativas expostas e limitar acesso por rede, função e autenticação forte
- Executar hunting pós-correção para persistência, exfiltração, alterações de configuração e movimentação lateral
0 Comentários