A semana reuniu exploração de zero-day em appliance de recuperação, malware Android com abuso de acessibilidade, campanhas de RAT, fraude em e-commerce, risco em contêineres públicos e aumento expressivo de DDoS.
| Componente | Dell RecoverPoint for Virtual Machines, ecossistema Android, lojas de e-commerce, WordPress comprometido, Docker Hub, npm, Microsoft Teams, BMS/BAS com LonTalk e serviços expostos a DDoS. |
| Vetor | Exploração de credencial embutida, atualização OTA comprometida, injeção em templates e JavaScript externo, phishing com anexos ou links, abuso de acessibilidade, pacotes npm imitadores e imagens públicas contaminadas. |
| Impacto | Execução de comandos como root em appliance, persistência em Android, coleta de cartões por skimmer, entrega de RATs, backdoors em dependências, mineração em contêineres e indisponibilidade por ataques volumétricos. |
| Prioridade | Atualizar RecoverPoint para versão corrigida, auditar Tomcat Manager, revisar firmware Android e origem de apps, caçar skimmers em lojas, validar imagens e pacotes antes de uso em produção e reforçar mitigação de DDoS. |
| Versões | Dell RecoverPoint for Virtual Machines anterior a 6[.]0[.]3[.]1 HF1 foi associado à CVE-2026-22769. |
| Artefatos | Foram citados web shell SLAYSTYLE, backdoors BRICKSTORM e GRIMBOLT, malware Android PromptSpy e Keenadu, RATs NetSupport, StealC, SectopRAT, Winos 4.0, Warzone RAT, njRAT, Pulsar RAT, XWorm e Prometei. |
O conjunto de eventos da semana mostra pressão simultânea sobre infraestrutura crítica, endpoints móveis, cadeias de dependência, comércio eletrônico e serviços expostos à internet. O caso de maior severidade técnica envolve CVE-2026-22769 no Dell RecoverPoint for Virtual Machines, explorada como zero-day por um cluster suspeito de vínculo com a China desde meados de 2024. A falha envolve credenciais embutidas associadas ao usuário admin no Apache Tomcat Manager da appliance, permitindo autenticação no gerenciador, implantação de um web shell chamado SLAYSTYLE pelo endpoint /manager/text/deploy e execução de comandos como root no equipamento. A cadeia observada resultou na instalação do backdoor BRICKSTORM e de uma versão mais recente chamada GRIMBOLT.
Além da exploração em appliance, a semana teve atividade relevante em Android, e-commerce e supply chain. PromptSpy foi descrito como malware Android que usa IA generativa durante a execução para orientar persistência por meio de serviços de acessibilidade. Keenadu apareceu como backdoor Android inserido em firmware e entregue por atualização OTA comprometida, com privilégios elevados desde a ativação do dispositivo. Em lojas virtuais, um skimmer atingiu uma rede global de supermercados e aplicou fraude de pagamento em duas etapas, na qual a vítima informa dados de cartão em um formulário falso antes de ser encaminhada ao formulário real.
A exploração de CVE-2026-22769 é crítica porque combina credencial fixa, interface administrativa e execução privilegiada em uma appliance voltada a recuperação de máquinas virtuais. Em ambientes nos quais o Tomcat Manager do RecoverPoint fica alcançável por segmentos pouco restritos, a credencial embutida reduz a barreira de entrada para um operador que já tenha conectividade com a interface. O fluxo observado passa pela autenticação no Tomcat Manager, pelo envio de um web shell ao caminho de implantação e pela execução de comandos com privilégio de root, condição suficiente para alterar o estado do appliance e estabelecer persistência.
A superfície afetada inclui versões anteriores a 6[.]0[.]3[.]1 HF1. A ação defensiva deve priorizar atualização, isolamento administrativo e análise de artefatos no Tomcat Manager. A presença de implantação inesperada no endpoint /manager/text/deploy, arquivos compatíveis com web shell, processos iniciados pelo serviço Tomcat e execução de binários não reconhecidos na appliance são sinais relevantes para investigação. Como BRICKSTORM e GRIMBOLT foram citados como cargas posteriores, a resposta não deve se limitar à troca de senha ou reinicialização: é necessário tratar a appliance como potencialmente comprometida até que a integridade do sistema seja confirmada.
- Produto afetado: Dell RecoverPoint for Virtual Machines anterior a 6[.]0[.]3[.]1 HF1.
- Falha citada:
CVE-2026-22769, com credenciais embutidas no contexto do Tomcat Manager. - Cargas citadas: SLAYSTYLE, BRICKSTORM e GRIMBOLT.
PromptSpy introduz um uso incomum de IA generativa em malware Android: a amostra usa Google Gemini para analisar a tela atual e produzir instruções voltadas a manter o aplicativo malicioso fixado na lista de apps recentes. O abuso descrito depende de serviços de acessibilidade, um componente frequentemente sensível porque permite interação com elementos de tela e mudanças de comportamento que se aproximam da experiência do usuário. Há indícios de foco em usuários na Argentina, e não houve confirmação de distribuição por Google Play.
Keenadu representa outro ponto de risco em Android porque aparece inserido de forma profunda no firmware e entregue por atualização OTA comprometida. Quando o componente malicioso nasce no firmware, ele herda privilégios elevados desde a ativação do dispositivo, foge do modelo comum de remoção por desinstalação de aplicativo e pode operar com baixa visibilidade para o usuário. O malware pode infectar outros apps instalados, implantar software adicional por APK e conceder permissões disponíveis no sistema. Ele permanece dormente em dispositivos configurados com idiomas ou fusos chineses e na ausência de Google Play Store e Google Play Services, uma lógica que limita ativação em determinados cenários e dificulta observação casual.
- PromptSpy usa análise de tela e acessibilidade para reforçar persistência.
- Keenadu foi observado em firmware e também em apps distribuídos por lojas Android.
- A detecção por usuário final é limitada quando o componente malicioso está pré-instalado no firmware.
O caso de skimmer em uma loja on-line de uma rede global de supermercados combina framework de coleta de pagamento com adaptação a plataformas populares de e-commerce. O código malicioso verifica sinais de usuários administrativos em WordPress, Magento, PrestaShop e OpenCart para reduzir a chance de exposição durante inspeções. A fraude denominada double-tap skimming apresenta primeiro um formulário falso de pagamento, coleta os dados do cartão e depois redireciona a vítima ao formulário legítimo, fazendo com que a segunda entrada pareça apenas uma repetição normal do processo de compra.
A ocorrência também se alinha a uma onda mais ampla contra lojas PrestaShop, com recomendação anterior para verificação de skimmers injetados em arquivos de template de tema. Para defesa, a investigação deve comparar templates em produção com versões limpas, procurar JavaScript desconhecido em páginas de checkout, revisar alterações recentes em temas e validar o comportamento da página de pagamento a partir de perfis não administrativos. A presença de lógica que muda o comportamento quando detecta um administrador é um sinal de evasão e exige testes com diferentes funções, navegadores e sessões.
- Plataformas citadas: WordPress, Magento, PrestaShop e OpenCart.
- Técnica: formulário falso antes do formulário real de pagamento.
- Ponto de caça: arquivos de tema, scripts externos e diferenças de comportamento entre usuário comum e administrador.
GrayCharlie, também conhecido como HANEYMANEY, SmartApeSG e ZPHP, foi associado ao comprometimento de sites WordPress com injeção de links para JavaScript hospedado externamente. O fluxo redireciona visitantes para cargas NetSupport RAT por páginas falsas de atualização de navegador ou mecanismos ClickFix. Em infecções posteriores, foram observadas entregas de StealC e SectopRAT. A atividade existe desde meados de 2023 e, embora muitos sites pareçam comprometidos de forma oportunista, um conjunto de escritórios de advocacia nos Estados Unidos teria sido atingido por volta de novembro de 2025, possivelmente por uma cadeia envolvendo provedor de TI compartilhado.
Campanhas de phishing contra Taiwan entregaram Winos 4.0, também chamado ValleyRAT, e plugins maliciosos por anexos ou links. Os temas usavam processos locais de negócios, como auditoria fiscal, instaladores de software para declaração de impostos e downloads de notas fiscais eletrônicas em nuvem. As técnicas observadas incluem arquivos LNK maliciosos para downloader, DLL side-loading por executáveis legítimos para carregar shellcode e uso de driver vulnerável wsftprm.sys para encerrar processos de produtos de segurança. O uso de Winos 4.0 foi associado ao grupo de cibercrime chinês Silver Fox.
- Buscar alterações em sites WordPress que carreguem JavaScript externo desconhecido.
- Correlacionar downloads iniciados por páginas falsas de atualização de navegador.
- Monitorar anexos LNK, side-loading de DLL e tentativa de uso do driver
wsftprm.sys.
Mais de 2.500 imagens maliciosas foram identificadas no Docker Hub, com cerca de 70% contendo minerador oculto. O restante incluía backdoors, exploits, ransomware, keyloggers e infraestrutura de proxy. O risco operacional é direto: puxar uma imagem pública deixa de ser uma ação neutra quando a imagem pode iniciar mineração, persistência ou comunicação externa dentro de ambientes de desenvolvimento, CI/CD ou produção. A consequência pode envolver consumo indevido de CPU, aumento de custos em nuvem, instabilidade e abertura de canais não previstos.
No ecossistema npm, os pacotes json-bigint-extend, jsonfx e jsonfb imitam a biblioteca legítima json-bigint, mas incorporam funcionalidade para instalar dois backdoors. As capacidades citadas incluem execução de código adicional obtido de um endpoint, comandos SQL arbitrários, download de conteúdo de arquivos e listagem de arquivos e diretórios do servidor. A análise do código carregado apontou um sistema para manipular fluxo financeiro em jogo de apostas, com uma função fixFlow usada para reescrever histórico de apostas e chegar a uma alteração desejada de saldo mantendo aparência de atividade legítima. O alvo suspeito é um app de apostas chamado Bappa Rummy, que não aparece mais listado no Google Play.
- Bloquear uso direto de imagens públicas sem assinatura, origem validada ou varredura de conteúdo.
- Auditar lockfiles e caches para presença de
json-bigint-extend,jsonfxejsonfb. - Revisar pipelines que executam imagens ou pacotes recém-adicionados com permissões amplas.
Os ataques DDoS cresceram de forma significativa em 2025. Ataques web DDoS subiram 101,4% em relação a 2024, atividade de bots maliciosos aumentou 91,8% e transações maliciosas contra aplicações web e APIs cresceram 128% no ano. Na camada de rede, o aumento foi de 168,2%, com picos próximos de 30 Tbps. Os setores de tecnologia, telecomunicações e serviços financeiros concentraram a maioria das campanhas de grande escala, enquanto o setor de tecnologia respondeu por 45% dos ataques de camada de rede, acima de 8,77% no ano anterior.
A motivação citada com maior peso foi hacktivismo impulsionado por conflitos geopolíticos e ideológicos. A defesa precisa tratar DDoS como risco de disponibilidade e também como ruído operacional que pode encobrir outras atividades. Métricas úteis incluem mudança abrupta de taxa por ASN, aumento de requisições contra rotas de API caras, crescimento de erro por saturação, anomalias em User-Agent e aumento de conexões incompletas. Em setores citados como mais visados, a validação de runbooks, contratos de mitigação, limites de autoscaling e comportamento de WAF/CDN deve ocorrer antes de eventos públicos sensíveis.
- Ataques de camada de rede cresceram 168,2% em 2025.
- Picos chegaram a quase 30 Tbps.
- Tecnologia, telecomunicações e serviços financeiros foram os setores mais atacados.
Um estudo acadêmico questionou alegações de zero knowledge em Bitwarden, Dashlane e LastPass sob condições específicas. O problema não é uma negação universal do modelo, mas a constatação de que recuperação de conta, compartilhamento de cofres e organização de usuários em grupos podem alterar as garantias esperadas. Os ataques mais severos citados contra Bitwarden e LastPass poderiam permitir que um insider ou invasor com acesso à infraestrutura do provedor lesse ou escrevesse conteúdo de cofres inteiros. Outros cenários permitem leitura e modificação de cofres compartilhados.
No Microsoft Teams, a proteção contra personificação de marca em chamadas externas deve começar a ser distribuída em meados de março de 2026, habilitada por padrão e sem ação administrativa necessária. O objetivo é detectar e alertar usuários sobre chamadas externas suspeitas. Também está prevista uma função para reportar chamadas suspeitas individuais. Para times de segurança, essa mudança deve ser considerada mais uma fonte de sinal em programas de fraude e engenharia social, especialmente quando chamadas externas se combinam com mensagens, solicitações de pagamento ou pedidos de alteração de credenciais.
- Revisar políticas de recuperação e compartilhamento em gerenciadores de senha.
- Separar cofres administrativos de cofres de uso comum.
- Integrar alertas de chamadas suspeitas a fluxos de resposta a fraude.
O protocolo proprietário LonTalk foi destacado como vetor relevante em sistemas de automação predial e gestão de edifícios. Esses ambientes sustentam HVAC, iluminação, energia e segurança física em setores como imóveis comerciais, varejo, hotelaria e data centers. O risco aumenta quando sistemas antes operados de forma isolada passam a ser conectados a redes IP e integrados a plataformas de BMS e BAS. A exposição de protocolos históricos em redes modernas pode criar caminhos para hacktivistas e grupos criminais que buscam impacto físico, indisponibilidade ou manipulação operacional.
No campo industrial, o volume de avisos também cresceu. Entre março de 2010 e 31 de janeiro de 2026, CISA/ICS-CERT publicou 3.637 avisos sobre 12.174 vulnerabilidades em 2.783 produtos de 689 fornecedores. O ano de 2025 atingiu 508 avisos, cobrindo 2.155 vulnerabilidades, primeiro ano acima de 500. A severidade média subiu para CVSS 8,07 e 82% dos avisos foram classificados como altos ou críticos. Em paralelo, a Microsoft apresentou LiteBox, projeto em Rust descrito como um library OS de sandboxing para reduzir a interface com o host e, assim, diminuir superfície de ataque em casos como execução de programas Linux no Windows ou isolamento de aplicações Linux.
- Inventariar BMS/BAS com comunicação LonTalk sobre redes IP.
- Priorizar segmentação de HVAC, iluminação, energia e segurança física.
- Usar estatísticas de ICS para orientar priorização por exposição e criticidade operacional.
Foram relatados sinais de uso de ferramenta forense comercial da Cellebrite contra o telefone pessoal de Boniface Mwangi, ativista pró-democracia do Quênia. Em desenvolvimento relacionado, o iPhone de Teixeira Cândido, jornalista angolano e defensor da liberdade de imprensa, teria sido atingido com sucesso pelo spyware Predator da Intellexa em maio de 2024 após abertura de link infectado recebido por WhatsApp. Esses casos reforçam que alvos de alto risco precisam tratar mensagens com links e apreensão física de dispositivos como eventos de segurança distintos, cada um com telemetria e contenção próprias.
A privacidade em dispositivos Samsung também entrou em foco. O app de clima pré-instalado foi analisado por usar um parâmetro placeid observável pelo provedor da API de clima. Em teste com 42 dispositivos e 9.211 requisições ao longo de cinco dias, combinações de placeid produziram identificadores únicos em 96,4% dos casos. Usuários com duas ou mais localidades salvas tinham uma combinação não compartilhada por outros participantes do conjunto. Como o identificador persiste mesmo com troca de IP e uso de VPN, localidades salvas podem funcionar como fingerprint transversal de sessão.
- Tratar abertura de links em mensageiros como evento relevante para alvos de alto risco.
- Avaliar coleta de parâmetros persistentes em apps pré-instalados.
- Considerar combinações de localidade como dado identificável em modelos de privacidade.
Autoridades nigerianas prenderam sete suspeitos de operar um centro de golpes em Agbor. O grupo usava anúncios em redes sociais e centenas de contas falsas no Facebook para atrair vítimas do Reino Unido a portais falsos de investimento em criptoativos. As contas imitavam traders de criptomoedas e usavam avaliações positivas fabricadas para alcançar pessoas que interagiam com plataformas legítimas de investimento. No primeiro semestre de 2025, foram removidas 12 milhões de contas no Facebook, Instagram e WhatsApp associadas a centros criminosos de golpe.
Outro caso envolveu Matthew A. Akande, nigeriano de 37 anos residente no México, condenado nos Estados Unidos a oito anos de prisão por uma operação de restituição fiscal fraudulenta. Entre junho de 2016 e junho de 2021, ele conspirou para usar informações de contribuintes roubadas e enviar mais de 1.000 declarações falsas buscando milhões de dólares em restituições. O fluxo citado usava e-mails de phishing contra cinco empresas de preparação de impostos em Massachusetts, fazendo-se passar por potenciais clientes e induzindo o download de RAT, incluindo Warzone RAT. A infraestrutura do Warzone RAT foi apreendida pelo FBI em fevereiro de 2024.
- Monitorar anúncios e grupos falsos que imitam traders ou plataformas legítimas.
- Reforçar triagem de anexos recebidos por empresas de preparação fiscal.
- Correlacionar acesso remoto indevido com extração de PII e dados fiscais de anos anteriores.
O grupo ChainedShark foi descrito como APT ativo desde maio de 2024 contra o setor acadêmico e de pesquisa científica da China. O foco principal é coleta de inteligência sobre diplomacia chinesa e tecnologia marítima, com vítimas anteriores em universidades e instituições de pesquisa especializadas em relações internacionais. O arsenal combina exploits de vulnerabilidades N-day e trojans personalizados complexos, como LinkedShell. A engenharia social usa convites de conferência e chamadas acadêmicas de artigos em chinês fluente e natural, reduzindo suspeita em ambientes nos quais esse tipo de comunicação é rotineiro.
A superfície defensiva nesse cenário passa por correio eletrônico, portais acadêmicos, endpoints de pesquisadores e sistemas de colaboração. Como os temas se apoiam em processos reais da carreira acadêmica, a detecção por palavras-chave genéricas tende a ser fraca. Sinais mais úteis incluem anexos ou links recém-criados associados a convites, exploração de falhas já corrigidas em sistemas expostos, execução de binários incomuns após abertura de documentos e comunicação de hosts de pesquisadores com infraestrutura externa não observada anteriormente.
- Alvos citados: universidades, institutos de pesquisa, relações internacionais e tecnologia marítima.
- Técnicas citadas: engenharia social acadêmica, exploits N-day e trojans personalizados.
- Artefato citado: LinkedShell.
A resposta defensiva deve começar pelos ativos com exploração confirmada ou caminho direto para execução privilegiada. RecoverPoint exposto deve ser atualizado para 6[.]0[.]3[.]1 HF1, isolado em rede administrativa e revisado para implantação indevida no Tomcat Manager. Em Android, dispositivos com origem de firmware incerta, atualização OTA fora do canal esperado ou apps com permissões elevadas precisam ser avaliados com foco em comportamento persistente, instalação de APKs adicionais e abuso de acessibilidade. Em e-commerce, o checkout deve ser validado em ambiente limpo, com comparação de templates, scripts e comportamento por perfil de usuário.
Em supply chain, a defesa deve bloquear dependências novas sem validação, exigir revisão de lockfiles, varrer imagens de contêiner antes do uso e registrar origem, digest e assinatura quando disponíveis. Em phishing e RATs, a prioridade é reduzir execução de anexos, detectar side-loading, bloquear páginas falsas de atualização e correlacionar acesso remoto inesperado com extração de dados. Para DDoS, runbooks precisam incluir contato com provedores, limites de tráfego, proteção de APIs, observabilidade por camada e testes de mitigação antes de incidentes de grande volume.
- Atualizar Dell RecoverPoint for Virtual Machines afetado e auditar Tomcat Manager.
- Procurar SLAYSTYLE, BRICKSTORM, GRIMBOLT, NetSupport RAT, StealC, SectopRAT, Winos 4.0 e Warzone RAT conforme telemetria disponível.
- Validar imagens do Docker Hub e pacotes npm antes de execução em CI/CD ou produção.
- Revisar checkout de lojas para skimmers, scripts externos e formulários falsos.
- Reforçar mitigação de DDoS em rede, aplicação e APIs com base nos setores mais expostos.
0 Comentários