A semana concentrou sinais de ataques mais rápidos contra fluxos de desenvolvimento, credenciais em nuvem, ferramentas de acesso remoto, infraestrutura compartilhada e cadeias de engenharia social.
| Componente | GitHub Codespaces, AWS, Azure Blob Storage, Sandboxie, WordPress comprometido, ferramentas RMM legítimas, infraestrutura SSH, SystemBC, AsyncRAT, Crimson RAT, BeaverTail e drivers de núcleo assinados |
| Vetor | Repositórios ou pull requests maliciosos, credenciais expostas em buckets S3 públicos, spear phishing com ISO, arquivos SCR, páginas ClickFix, mensagens falsas de voicemail, phishing de Dropbox e abuso de drivers vulneráveis carregados no Windows |
| Impacto | Execução remota de código em ambiente de desenvolvimento, escalonamento para privilégios administrativos em AWS, acesso remoto persistente, roubo de credenciais, proxy malicioso, sabotagem de ferramentas de segurança e possível comprometimento completo de host no Sandboxie |
| Prioridade | Revisar fluxos de desenvolvimento e nuvem, corrigir Sandboxie para 1.16.7, remover dependências de TLS 1.0 e 1.1 no Azure Blob Storage, bloquear drivers revogados, auditar credenciais expostas e reforçar detecção de RMM e RATs |
| Artefatos | CVE-2025-64721, SboxSvc.exe, EnPortv.sys, .vscode/settings.json, .devcontainer/devcontainer.json, .vscode/tasks.json, PROMPT_COMMAND, Crimson RAT, BeaverTail, AsyncRAT, SystemBC, NetSupport RAT, SimpleHelp, Remotely RMM e DDoSia Project |
| Mitigação | Aplicar correções disponíveis, restringir execução automática em ambientes de desenvolvimento, exigir TLS 1.2, monitorar chaves SSH reutilizadas, validar permissões IAM, revisar instalação de RMM e priorizar vulnerabilidades já associadas a ransomware |
O boletim consolida uma semana sem um único evento dominante, mas com múltiplos sinais relevantes para equipes de segurança: ambientes de desenvolvimento executando configurações não confiáveis, infraestrutura criminosa reaproveitada entre grupos, abuso de ferramentas legítimas de administração remota, campanhas de phishing com serviços de nuvem conhecidos e operações em nuvem que avançam de credenciais expostas para privilégios elevados em poucos minutos.
A linha comum entre os casos é a redução do intervalo entre acesso inicial e efeito operacional. Em vez de depender apenas de exploração inédita, os operadores abusam de integrações confiáveis, configurações esperadas por ferramentas de desenvolvimento, credenciais mal protegidas, drivers assinados porém revogados e serviços legítimos usados como cobertura. Para defesa, isso desloca a prioridade para controles de execução, identidade, inventário, telemetria de endpoint e revisão de dependências operacionais.
Foram descritos vetores em GitHub Codespaces que permitem execução remota de código quando um usuário abre um repositório ou pull request malicioso. Os caminhos citados envolvem arquivos de configuração aceitos pelo VS Code e pelo ambiente de desenvolvimento: .vscode/settings.json com injeção em PROMPT_COMMAND, .devcontainer/devcontainer.json com abuso de postCreateCommand e .vscode/tasks.json com tarefas acionadas na abertura de pasta.
O risco está no limite de confiança entre código recebido e ambiente de desenvolvimento do usuário. Se um repositório não confiável puder influenciar comandos automáticos, o atacante pode tentar executar código arbitrário, acessar tokens do GitHub, procurar segredos carregados no ambiente e abusar de integrações disponíveis no Codespaces. A atividade foi classificada pela Microsoft como comportamento por desenho, o que reforça a necessidade de controles internos antes de abrir projetos desconhecidos.
O APT36, alinhado ao Paquistão, foi observado mirando o ecossistema de startups da Índia com iscas sensíveis ao setor. O fluxo começa por spear phishing com imagem ISO; ao ser aberta, a imagem contém um atalho LNK malicioso, um documento isca, um script em lote usado para persistência e o payload Crimson RAT disfarçado como executável com nome relacionado a Excel. A finalidade descrita inclui vigilância, reconhecimento de sistema e exfiltração de dados.
No setor financeiro nórdico, o Lazarus Group, vinculado à Coreia do Norte, aparece em uma campanha associada ao Contagious Interview. O fluxo entrega um stealer e baixa BeaverTail, que procura automaticamente dados relacionados a criptomoedas na máquina da vítima e também pode funcionar como ferramenta de acesso remoto para ações posteriores. Em ambos os casos, a defesa deve tratar anexos, entrevistas, documentos de negócio e arquivos encapsulados como pontos de entrada de alto risco quando chegam por canais externos.
O cluster ShadowSyndicate foi associado a dois novos marcadores SSH que conectam dezenas de servidores a um mesmo operador de cibercrime. Esses hosts aparecem vinculados a atividades de diferentes grupos e ecossistemas, incluindo Cl0p, BlackCat, Ryuk, Malsmoke e Black Basta. O comportamento destacado é a transferência de servidores entre clusters SSH e a rotação de chaves, criando continuidade operacional mesmo quando a infraestrutura muda de uso.
A mesma superfície aparece no rastreamento de 57 hosts ligados a AsyncRAT expostos na internet em janeiro de 2026. A concentração em provedores de VPS e a reutilização de certificado TLS autoassinado identificando o serviço como AsyncRAT Server permitem descoberta em escala. Para defesa, a utilidade está menos em uma amostra isolada e mais em padrões de infraestrutura, certificados, provedores, portas expostas e reaproveitamento de chaves.
Duas campanhas usam ferramentas legítimas de administração remota como destino final. Em uma delas, mensagens falsas de voicemail com subdomínios temáticos de banco levam a uma experiência de escuta de mensagem, mas o fluxo termina na instalação do Remotely RMM e no registro do dispositivo em um ambiente controlado pelo atacante. O vetor depende de engenharia social e aprovação do usuário, não de exploração técnica documentada.
Outra campanha usa iscas de negócios para induzir a execução de arquivo .SCR, que instala uma ferramenta RMM legítima como SimpleHelp e entrega controle remoto interativo. O uso de serviços confiáveis na entrega reduz a dependência de infraestrutura própria do atacante e dificulta resposta baseada apenas em reputação. Controles de execução devem tratar .SCR como executável, bloquear instalação não autorizada de RMM e gerar alerta quando agentes de acesso remoto surgirem fora dos fluxos de TI aprovados.
Um ataque de bring your own vulnerable driver abusou de um driver legítimo e revogado da Guidance Software, associado ao EnCase, identificado como EnPortv.sys. O acesso inicial observado ocorreu por credenciais comprometidas de SonicWall SSL-VPN, seguido da implantação de um componente que abusava do driver para tentar encerrar 59 ferramentas de segurança a partir do modo núcleo.
O caso foi interrompido antes da implantação de ransomware, mas demonstra como drivers assinados e antigos continuam úteis para cegar controles de endpoint quando o sistema operacional permite seu carregamento. A resposta defensiva deve combinar bloqueio de drivers vulneráveis, inventário de drivers carregados, validação de certificados revogados e correlação entre acesso VPN anômalo, criação de serviços, eventos de carregamento de driver e queda simultânea de processos de segurança.
Uma operação ofensiva contra AWS avançou de acesso inicial para privilégios administrativos em oito minutos. O acesso inicial veio de credenciais encontradas em buckets públicos do Amazon S3. Depois disso, o operador escalou privilégios por injeção de código em funções Lambda, moveu-se por 19 principais AWS distintos, abusou do Amazon Bedrock para LLMjacking e iniciou instâncias GPU para treinamento de modelo.
A atividade traz indícios de uso de modelos de linguagem para automatizar reconhecimento, gerar código malicioso e apoiar decisões em tempo real. O ponto defensivo central é que credenciais expostas em armazenamento público já são suficientes para um ciclo rápido de impacto quando permissões IAM, funções Lambda e serviços de IA não estão limitados. Detecções devem observar chamadas incomuns ao Bedrock, criação de instâncias GPU, edição inesperada de função Lambda e encadeamento rápido entre principais.
A vulnerabilidade crítica CVE-2025-64721 no Sandboxie recebeu pontuação CVSS 9.9 e permite, em caso de exploração bem-sucedida, que processos dentro da sandbox executem código arbitrário como SYSTEM, comprometendo o host. O problema está no serviço SboxSvc.exe, executado com permissões SYSTEM, e envolve aritmética manual de ponteiros em C, ausência de verificação de overflow inteiro e confiança em tamanhos de mensagens fornecidos pelo cliente. A correção foi disponibilizada na versão 1.16.7.
Em infraestrutura Microsoft, o Azure Blob Storage deixará de aceitar TLS 1.0 e 1.1 em 3 de fevereiro de 2026, tornando TLS 1.2 o mínimo para contas novas e existentes em todas as nuvens. Ambientes que ainda dependem de clientes legados, bibliotecas antigas ou appliances sem suporte a TLS 1.2 precisam ser identificados antes da mudança para evitar interrupção de acesso a blobs.
Uma campanha de phishing usa temas de compras e licitações para distribuir PDFs que redirecionam vítimas a uma página falsa do Dropbox. O fluxo hospeda artefatos em infraestrutura de nuvem aparentemente legítima, inclui uma simulação de login com atraso de cinco segundos e exibe erro de credenciais inválidas após o envio, enquanto os dados capturados são enviados a um bot no Telegram.
A operação Rublevka Team foi descrita como ecossistema de drenagem de carteiras de criptomoedas ativo desde 2023, com mais de US$ 10 milhões gerados por campanhas afiliadas. O modelo usa landing pages falsas que imitam serviços de criptoativos, scripts JavaScript personalizados e indução da vítima a conectar carteiras e autorizar transações fraudulentas. A operação oferece bots no Telegram, geradores de páginas, recursos de evasão e suporte a mais de 90 tipos de carteira, reduzindo a barreira técnica para afiliados.
O grupo pró-Rússia NoName057(16) continua associado ao DDoSia Project, uma ferramenta distribuída por voluntários para ataques de negação de serviço contra sites governamentais, de mídia e institucionais ligados à Ucrânia e a interesses políticos ocidentais. A coordenação ocorre por canais no Telegram com mais de 20 mil seguidores, propaganda ideológica, gamificação e recompensas em criptomoedas.
O alvo observado se concentra em Ucrânia, aliados europeus e países da OTAN, com setores de governo, forças militares, transporte, utilidades públicas, finanças e turismo. A diferença operacional em relação a botnets tradicionais está no consentimento dos participantes, que instalam a ferramenta deliberadamente e seguem alvos indicados pelos operadores. A defesa deve monitorar indisponibilidade, tráfego volumétrico, picos por região e padrões de campanha ligados a eventos geopolíticos.
A operação SystemBC, também conhecida como Coroxy ou DroxiDat, foi vinculada a mais de 10 mil endereços IP infectados no mundo. O malware é ativo desde pelo menos 2019 e costuma ser usado para trafegar conexões por sistemas comprometidos, manter acesso persistente a redes internas ou apoiar a implantação de malware adicional. A maior concentração observada envolve Estados Unidos, Alemanha, França, Singapura e Índia, com menções a sistemas associados a infraestrutura governamental sensível em Burkina Faso e Vietnã.
Em sites WordPress, operadores usam o framework IClickFix para construir páginas ClickFix em instalações comprometidas. O framework teria aparecido em mais de 3.800 sites desde dezembro de 2024 e injeta JavaScript malicioso para exibir a isca e entregar NetSupport RAT por meio de um sistema de distribuição de tráfego. Também foi citado o abuso do encurtador aberto YOURLS como possível TDS, além de campanhas com ErrTraffic para simular falhas no site e sugerir uma correção falsa.
A exposição cobre fluxos de desenvolvimento, identidades em nuvem, VPN corporativa, endpoints Windows, sites WordPress, armazenamento Azure, workloads AWS, usuários de criptomoedas, setores financeiro e governamental, além de organizações afetadas por campanhas DDoS geopolíticas. O ponto comum é que os ataques se apoiam em ativos rotineiros: repositórios, buckets, atalhos, drivers, RMM, PDFs, páginas falsas, certificados TLS e credenciais.
Equipes devem priorizar superfícies onde a confiança é concedida automaticamente: abertura de projetos, execução de arquivos de configuração, instalação de ferramentas administrativas, carregamento de drivers assinados, permissões amplas em funções serverless e acesso a serviços de IA. Esses pontos permitem que uma interação aparentemente normal gere execução, persistência ou escalonamento.
- Ambientes GitHub Codespaces que abrem repositórios ou pull requests não confiáveis
- Contas AWS com credenciais expostas em buckets S3 públicos e permissões capazes de alterar Lambda
- Endpoints Windows onde
.SCR, ISO, LNK, RMM e drivers revogados não são bloqueados - Sites WordPress comprometidos capazes de injetar JavaScript ClickFix e distribuir RAT
- Contas Azure Blob Storage que ainda dependem de TLS 1.0 ou 1.1
A caça deve combinar sinais de identidade, endpoint, nuvem e rede. Em desenvolvimento, revise eventos de abertura de projetos desconhecidos, criação automática de tarefas, comandos executados por arquivos de configuração e acesso anômalo a tokens. Em AWS, observe sequência rápida de chamadas envolvendo S3, IAM, Lambda, Bedrock e criação de instâncias GPU, especialmente quando o principal usado não possui histórico compatível.
Em endpoint, procure execução de .SCR, montagem de ISO recebida por e-mail, criação de persistência por script em lote, instalação de RMM fora do catálogo autorizado, carregamento de EnPortv.sys, falha ou encerramento simultâneo de processos de EDR e conexões persistentes associadas a RATs. Em rede, priorize certificados autoassinados com padrões de AsyncRAT, comportamento de proxy SystemBC e tráfego volumétrico coerente com campanhas DDoS.
- Execução automática associada a
.vscode/settings.json,.devcontainer/devcontainer.jsonou.vscode/tasks.jsonem repositórios recém-abertos - Chamadas AWS incomuns para Lambda, IAM, Bedrock e criação de instâncias GPU após uso de credenciais sem histórico
- Instalação inesperada de Remotely RMM, SimpleHelp, NetSupport RAT, AsyncRAT, Crimson RAT, BeaverTail ou SystemBC
- Carregamento do driver
EnPortv.syse eventos de término de múltiplos processos de segurança - Autenticações ou acessos a Dropbox falso, bots do Telegram e páginas de carteira cripto após e-mails de licitação, voicemail ou negócios
A resposta deve começar por inventário e redução de confiança implícita. Corrija Sandboxie para 1.16.7, remova dependências de TLS 1.0 e 1.1 no Azure Blob Storage, revise credenciais publicadas em S3, aplique bloqueio de drivers vulneráveis ou revogados, limite permissões IAM por função e restrinja instalação de RMM a ferramentas aprovadas com assinatura, tenant e política conhecidos.
Nos fluxos de desenvolvimento, trate repositórios externos como conteúdo não confiável até validação manual. Desabilite ou isole execução automática quando possível, use ambientes descartáveis sem segredos persistentes, separe tokens por escopo e monitore acesso a integrações sensíveis. Para phishing e malware, reforce controles de anexos ISO, LNK, PDF e .SCR, bloqueie páginas ClickFix em proxy seguro e execute resposta rápida quando usuários aprovarem instalação de ferramentas remotas.
- Atualizar Sandboxie para 1.16.7 e validar ausência de versões vulneráveis em hosts que dependem de sandbox local
- Migrar clientes e integrações do Azure Blob Storage para TLS 1.2 antes de 3 de fevereiro de 2026
- Revogar credenciais expostas, revisar buckets S3 públicos e reduzir permissões capazes de alterar Lambda, IAM, Bedrock ou instâncias GPU
- Bloquear drivers vulneráveis ou revogados, incluindo
EnPortv.sys, e auditar carregamento de drivers no Windows - Implementar allowlist para RMM, bloquear
.SCRnão autorizado e isolar repositórios externos antes de abrir em Codespaces
0 Comentários