A semana concentrou mudanças defensivas em criptografia e AppSec, campanhas com software pirateado, extensões falsas, RATs para Android, phishing por reuniões e abuso de infraestrutura legítima.
| Componente | Android 17, GitHub Code Security, MS-SQL, npm, extensões de navegador, dispositivos Android, sistemas de videoconferência e infraestrutura de telefonia móvel em nuvem |
| Vetor | abuso de fluxos confiáveis, incluindo software pirateado distribuído por Telegram, convites falsos de reunião, pacotes npm typosquatted, Google Forms, links em suporte Web3 e APKs dropper para Android |
| Impacto | execução de backdoors, drenagem de carteiras cripto, controle remoto de endpoints, exfiltração de chaves privadas, comprometimento de dispositivos Android e manipulação de métricas em marketplace de habilidades |
| Prioridade | validar origem de software e pacotes, bloquear instalação não autorizada de RMM, auditar Androids de baixo custo e reforçar controles de identidade, endpoint, repositórios e CI/CD |
| Artefatos | Tambur, Sumbur, Kalambur, DemiMur, Keenadu, PureHVNC, PhantomVAI Loader, Remcos RAT, XWorm, Farfli, Oblivion RAT, ICE Cloud Client e TOXICSNAKE |
| IoCs | Exemplos defangados incluem shieldguards[.]net e domínio typosquatted de reunião zoom-meet[.]us; indicadores completos devem ser tratados em listas internas controladas |
O boletim reúne eventos de segurança com um padrão comum: operadores maliciosos e mudanças defensivas estão se concentrando em fluxos que usuários e equipes técnicas já consideram normais. A superfície inclui assinatura de inicialização no Android, detecção de vulnerabilidades em código, marketplaces de habilidades, pacotes npm, extensões de navegador, ferramentas de administração remota, Androids de baixo custo, servidores MS-SQL mal administrados e infraestrutura virtualizada de telefonia móvel usada para fraude.
A leitura defensiva é que o risco não está limitado a uma única família de malware ou a uma única vulnerabilidade. Várias atividades descritas dependem de confiança herdada: arquivos ISO que simulam software conhecido, páginas falsas de atualização, extensões que prometem proteger carteiras, formulários hospedados em serviço legítimo, links enviados por canais de suporte e ferramentas RMM assinadas digitalmente. Para defesa, isso desloca a prioridade de bloqueios baseados apenas em reputação para validação de origem, controle de execução, telemetria de identidade, inspeção de pacotes e revisão de permissões.
O Google definiu uma linha de tempo até 2029 para acelerar a migração para criptografia pós-quântica, com foco em autenticação, assinaturas digitais e proteção contra cenários de coleta agora e descriptografia futura. A mudança considera o avanço de hardware quântico, correção de erros e estimativas de recursos para fatoração quântica, tratando a transição como um problema de engenharia de longo prazo, não como troca pontual de algoritmo.
No Android 17, a proteção de assinatura digital pós-quântica passa a integrar o Module-Lattice-Based Digital Signature Algorithm, ML-DSA. O Android Verified Boot recebe suporte para ML-DSA com o objetivo de reforçar a resistência contra adulteração de software carregado durante a sequência de inicialização. O plano também inclui a transição da atestação remota para uma arquitetura compatível com criptografia pós-quântica e suporte nativo a ML-DSA no Android Keystore.
- Revisar dependências de assinatura digital e atestação remota em serviços Android.
- Mapear sistemas que ainda dependem de criptografia vulnerável a cenários de longo prazo.
- Planejar migração por inventário de chaves, bibliotecas, firmware, inicialização e serviços de autenticação.
O GitHub está introduzindo detecções de segurança com IA no GitHub Code Security para ampliar cobertura de AppSec em linguagens e frameworks nos quais análise estática tradicional pode não ser suficiente. O modelo proposto complementa o CodeQL e leva achados e correções sugeridas para o fluxo de pull request, onde desenvolvedores já revisam mudanças antes da integração.
A previsão de entrada em prévia pública é o início do segundo trimestre de 2026. Para equipes de engenharia, o ponto operacional é tratar a detecção por IA como camada adicional de priorização, não como substituto para modelagem de ameaça, revisão humana e testes específicos. O valor defensivo tende a aparecer em padrões difíceis de codificar em regras estáticas rígidas, mas a governança precisa controlar falsos positivos, rastreabilidade da sugestão e evidência técnica de cada correção.
- Correlacionar alertas de IA com CodeQL, revisão de pull request e testes de segurança.
- Exigir evidência de impacto antes de aceitar correções automáticas em código crítico.
- Medir ruído por linguagem, framework e repositório antes de habilitação ampla.
A campanha atribuída com confiança moderada ao Sandworm, também identificado como APT-C-13, usa versões pirateadas de software legítimo como isca, incluindo arquivo ISO apresentado como Microsoft Office. O vetor descrito envolve Telegram e engenharia social direcionada a usuários ucranianos interessados em cracks de software, um fluxo que reduz atrito para o operador porque a própria vítima busca executar conteúdo não confiável.
Os backdoors citados são Tambur, Sumbur, Kalambur e DemiMur. Tambur cria túneis SSH reversos para permitir emissão de comandos. Kalambur é associado a penetração em intranet, tomada de RDP e comunicação persistente. Sumbur é descrito como sucessor de Kalambur com técnicas de ofuscação aprimoradas. DemiMur atua na cadeia de confiança, importando um certificado raiz forjado DemiMurCA.crt para fazer scripts posteriores parecerem confiáveis ao Windows.
- Procurar instalação recente de certificados raiz não aprovados em endpoints Windows.
- Investigar túneis SSH reversos iniciados por usuários ou processos sem justificativa administrativa.
- Bloquear software pirateado e monitorar downloads de arquivos ISO fora de canais oficiais.
O ShieldGuard se apresentou como projeto blockchain e extensão de navegador para proteger carteiras contra phishing e contratos inteligentes nocivos, mas a análise descrita aponta que o objetivo real era drenar ativos digitais. A promoção ocorreu por site dedicado defangado como shieldguards[.]net, conta no X e canal no Telegram, com campanha de marketing multinível baseada em recompensa por uso antecipado e divulgação.
A extensão foi descrita como capaz de coletar endereços de carteiras e dados sensíveis associados a plataformas como Binance, Coinbase, MetaMask, OpenSea, Phantom e Uniswap, além de dados de usuários de serviços Google. Também foi observada extração do HTML completo de páginas após autenticação em serviços cripto selecionados. O operador por trás da atividade é avaliado como falante de russo, mas a defesa deve priorizar o comportamento de coleta e as permissões da extensão, não apenas a atribuição.
- Inventariar extensões instaladas em navegadores usados para carteiras e exchanges.
- Bloquear extensões fora de lista aprovada em estáções com acesso a ativos digitais.
- Monitorar acesso a domínios de projetos cripto recém-criados e canais de promoção suspeitos.
O Keenadu foi observado em Android como infecção de firmware embutida na biblioteca compartilhada libandroid_runtime.so, com injeção no processo Zygote. Como Zygote é processo pai para aplicativos Android, a posição da infecção permite controle amplo sobre o dispositivo comprometido. O malware atua como downloader de segundo estágio, e os aparelhos infectados continham dois APKs de nível de sistema: PriLauncher.apk e PriLauncher3QuickStep.apk.
Até 4 de março de 2026, foram detectados mais de 500 dispositivos Android únicos comprometidos em quase 50 modelos, principalmente aparelhos de baixo custo de fabricantes como Allview, BLU, Dcode, DOOGEE, Gigaset, Gionee, Lava e Ulefone, com presença em 40 países. Em paralelo, o Oblivion RAT aparece como plataforma MaaS para Android, distribuída por APKs dropper que simulam atualização do Google Play e abusam da API de acessibilidade para ganhar permissões e controlar a interface do dispositivo.
- Separar dispositivos Android não gerenciados de fluxos corporativos sensíveis.
- Auditar uso de serviços de acessibilidade por aplicativos que não precisam desse recurso.
- Revisar firmware e APKs de sistema em modelos de baixo custo usados em operações críticas.
Campanhas de phishing estão usando convites falsos de videoconferência para Zoom, Microsoft Teams e Google Meet. O usuário é levado a acreditar que precisa de uma atualização obrigatória para entrar na chamada e é redirecionado para domínios typosquatted, como zoom-meet[.]us. O payload é apresentado como atualização, mas corresponde a ferramentas RMM assinadas digitalmente, incluindo Datto RMM, LogMeIn ou ScreenConnect.
Outro fluxo usa Google Forms com temas corporativos, como entrevistas, documentos financeiros e briefings de projeto, para iniciar cadeia de infecção. A vítima baixa um ZIP relacionado ao tema de negócio, e o conteúdo dispara etapas que terminam com malware, incluindo PureHVNC. Também foi observada campanha com VBScript ofuscado para entregar PhantomVAI Loader via imagens PNG hospedadas no Internet Archive, resultando em Remcos RAT e XWorm.
- Alertar para instalação de RMM fora de fluxo de TI, mesmo quando o binário estiver assinado.
- Bloquear execução de anexos compactados vindos de formulários públicos sem inspeção.
- Correlacionar convites de reunião com domínios recém-registrados ou typosquatting de marcas conhecidas.
O ator Larva-26002 continua mirando servidores MS-SQL mal administrados. Em 2024, a atividade foi associada à instalação dos ransomwares Trigona e Mimic. Nos ataques mais recentes, o operador explorou o utilitário Bulk Copy Program de MS-SQL para preparar malware localmente e implantar o ICE Cloud Client, escrito em Go, que combina funções de scanner e brute force contra servidores MS-SQL suscetíveis.
No ecossistema JavaScript, cinco pacotes npm maliciosos foram encontrados fazendo typosquatting de biblioteca legítima de criptomoeda: ethersproject-wallet, base-x-64, bs58-basic, raydium-bs58 e base_xd, todos publicados pela conta galedonovan. Cada pacote intercepta função por onde desenvolvedores passam chaves privadas e envia a chave para um bot Telegram hard-coded, retornando o resultado esperado para reduzir sinais visíveis de erro.
No ClawHub, marketplace de habilidades para OpenClaw, uma falha permitia inflar downloads porque a função increment() estava exposta como mutação pública, sem autenticação, rate limiting ou deduplicação. O abuso permitiria elevar artificialmente uma habilidade no ranking e induzir desenvolvedores a instalar habilidades maliciosas. A falha foi mitigada após divulgação responsável em 16 de março de 2026.
- Restringir BCP e revisar contas SQL com privilégios excessivos.
- Bloquear pacotes npm typosquatted e exigir lockfiles revisados em projetos com criptoativos.
- Tratar métricas de marketplace como sinal fraco quando não houver controle antifraude.
Uma campanha contra equipes de suporte de empresas Web3 usa links suspeitos enviados por chat de atendimento. A cadeia entrega executável disfarçado de fotografia, recupera loader de segundo estágio em um dead drop AWS S3 e instala o implante Farfli, também conhecido como Gh0st RAT, por DLL side-loading. A atribuição aponta para APT-Q-27, também chamado GoldenEyeDog, grupo financeiramente motivado suspeito de operar a partir da China desde pelo menos 2022.
O abuso de cloud phones mostra outro eixo de risco: infraestrutura Android virtualizada usada para fraude financeira. Plataformas de aluguel de dispositivos virtuais permitem operar instâncias com e-wallets, cartões bancários e contas pré-verificadas. Vítimas são enganadas por falsos funcionários de bancos ou autoridades para fornecer credenciais bancárias e completar verificação em dispositivo controlado pelo fraudador. Depois, instâncias e contas configuradas são negociadas em mercados clandestinos.
A Shadowserver identificou mais de 511 mil instâncias Microsoft IIS em fim de vida em varreduras diárias, com mais de 227 mil além do período oficial de Extended Security Updates. A exposição aparece em vários países, incluindo China, Estados Unidos, França, Reino Unido, Itália, Brasil, Índia, Japão, Austrália e Rússia, indicando uma superfície ampla de servidores sem cobertura regular de correção.
- Monitorar links recebidos por canais de suporte e anexos apresentados como imagens.
- Detectar DLL side-loading e execução em memória em estáções de atendimento Web3.
- Inventariar IIS em fim de vida e remover serviços sem suporte da internet.
Autoridades indianas ordenaram auditoria nacional de sistemas CCTV após exposição de rede de espionagem ligada ao Paquistão que explorava câmeras de vigilância em estáções ferroviárias e infraestrutura importante. As medidas incluem documentação obrigatória da origem de componentes críticos, testes contra vulnerabilidades que permitam acesso remoto não autorizado e verificação de conformidade. Também foram relatadas prisões relacionadas a reconhecimento de estáções e bases militares por pessoas recrutadas por redes sociais e aplicativos de mensagem criptografada.
O TDS TOXICSNAKE foi descrito como sistema de distribuição de tráfego que direciona vítimas para phishing, funis de golpe ou payloads de malware. O fluxo começa com loader JavaScript de primeiro estágio capaz de fingerprinting do visitante e retorna URL de redirecionamento ou link para payload. Esse padrão exige telemetria de navegação, análise de scripts inseridos e detecção de redirecionamentos condicionais.
No campo de ransomware, o Crytox PowerShell Encryptor foi descrito como capaz de evadir EDR sem ferramentas adicionais, com foco em infraestrutura virtual, entrada por exploração de VPN e execução manual. O grupo INC reivindicou ataques contra dez organizações jurídicas em 48 horas, e o volume por setor levanta hipótese de campanha coordenada ou comprometimento upstream compartilhado, como fornecedor jurídico ou provedor de serviços gerenciados. Separadamente, uma alteração em Hong Kong permite que a polícia exija senhas de telefone ou computador de suspeitos de violar a Lei de Segurança Nacional, com penalidades por recusa ou informação falsa.
- Auditar câmeras IP por origem de componente, firmware, acesso remoto e exposição externa.
- Inspecionar scripts de redirecionamento e fingerprinting em tráfego web suspeito.
- Priorizar VPN, hipervisores e servidores de máquinas virtuais em hunting de ransomware direcionado.
A telemetria deve unir endpoint, identidade, rede, navegador, repositório e cloud. Em endpoints Windows, sinais relevantes incluem instalação de certificado raiz inesperado, execução de binários a partir de diretórios que imitam cache do Windows Update, DLL side-loading, túneis SSH reversos, RMM instalado por usuário final e scripts que aparecem confiáveis por cadeia de assinatura incomum. Em Android, os principais sinais são abuso de acessibilidade, dropper com tela falsa de atualização, APKs de sistema suspeitos e firmware modificado.
Em ambientes de desenvolvimento, hunting deve cobrir pacotes adicionados recentemente, nomes semelhantes a bibliotecas legítimas, chamadas a funções que manipulam chaves privadas, tráfego para Telegram a partir de pipelines ou máquinas de build e alterações em lockfiles. Em rede, domínios de videoconferência typosquatted, redirecionamentos condicionais por JavaScript e downloads de ZIP a partir de formulários públicos devem ser correlacionados com eventos de execução no endpoint.
- Certificados raiz instalados fora do processo de gerenciamento corporativo.
- Ferramentas RMM assinadas executadas após clique em convite de reunião.
- Pacotes npm recém-adicionados que manipulam chaves privadas ou codificam bot Telegram.
- APK dropper que solicita serviço de acessibilidade por fluxo visual de atualização.
- MS-SQL usando BCP para preparar arquivos em disco sem mudança administrativa aprovada.
A resposta deve começar por inventário e controle de origem. Software empresarial precisa vir de canais oficiais, extensões de navegador devem ser aprovadas por política, ferramentas RMM devem ser instaladas apenas por TI e pacotes de dependência precisam passar por revisão de nome, mantenedor, lockfile e comportamento de runtime. Em servidores MS-SQL, a redução de superfície exige remoção de exposição desnecessária, credenciais fortes, restrição de utilitários administrativos e monitoramento de criação de arquivos pelo serviço do banco.
Para Android, organizações devem separar dispositivos não gerenciados de contas sensíveis, bloquear sideloading quando possível e revisar permissões de acessibilidade. Para cloud, repositórios e CI/CD, a prioridade é proteger segredos: rotação de chaves quando houver suspeita de pacote malicioso, revogação de tokens usados em builds, verificação de caches e revisão de artefatos publicados. Para ransomware e intrusão manual, VPNs, hipervisores e servidores de máquinas virtuais devem receber monitoramento reforçado e segmentação, porque o impacto operacional é alto mesmo sem confirmação de exploração massiva.
- Aplicar lista aprovada para RMM, extensões de navegador e fontes de software.
- Revisar dependências npm citadas e procurar typosquatting em projetos com criptoativos.
- Remover ou isolar IIS em fim de vida exposto à internet.
- Auditar Androids de baixo custo e dispositivos com firmware não verificável.
- Rotacionar chaves privadas e tokens quando houver execução de pacote ou extensão suspeita.
0 Comentários