A semana concentrou riscos em transferência de arquivos, dispositivos Android, pacotes de código aberto, AWS, processamento de imagens e campanhas móveis de phishing.
| Componente | Progress ShareFile Storage Zone Controller, Android, Google Drive, GhostSocks, XLoader, ImageMagick, npm, AWS CloudTrail e aplicativos móveis usados em phishing. |
| Vetor | Encadeamento de falhas pré e pós-autenticação, aplicativos Android maliciosos, convites falsos de teste beta, tomada de contas de pacotes, upload de imagens ou PDFs e abuso de APIs administrativas da AWS. |
| Impacto | Execução remota de código, upload de web shells, root em dispositivos Android, coleta de credenciais do Facebook, transformação de hosts em proxies SOCKS5, roubo de informações e perda de visibilidade forense em nuvem. |
| Prioridade | Aplicar o Storage Zone Controller 5.12.4, revisar telemetria de Android e identidade, endurecer pipelines npm, isolar processamento de PDFs e monitorar alterações incomuns em CloudTrail, Event Data Stores e políticas organizacionais. |
| Versões | Progress corrigiu as falhas do ShareFile no Storage Zone Controller 5.12.4 em 10 de março de 2026; XLoader foi observado na versão 8.7. |
| Artefatos | CVE-2026-2699, CVE-2026-2701, /ConfigService/Admin.aspx, NoVoice, Triada, Lumma Stealer, GhostSocks, SOCKS5, XLoader 8.7, PutEventSelectors, StopEventDataStoreIngestion, DeleteEventDataStore, PutInsightSelectors, DeleteResourcePolicy e DeregisterOrganizationDelegatedAdmin. |
O boletim reúne incidentes e pesquisas que mostram uma mesma tendência operacional: controles de borda, dispositivos móveis, bibliotecas de código aberto e trilhas de auditoria em nuvem estão sendo pressionados por cadeias que combinam falhas conhecidas, permissões legítimas e abuso de fluxos confiáveis. O caso mais direto envolve o Progress ShareFile, no qual CVE-2026-2699 permite contornar autenticação no endpoint /ConfigService/Admin.aspx e CVE-2026-2701 fornece execução remota de código após autenticação. Encadeadas, as falhas removem a barreira inicial de acesso e permitem chegar ao estágio de upload de web shells antes da autenticação efetiva.
Em paralelo, o malware Android NoVoice foi distribuído por mais de 50 aplicativos baixados pelo menos 2,3 milhões de vezes, enquanto campanhas móveis usaram convites falsos de teste beta para capturar credenciais do Facebook. A superfície corporativa também aparece em três frentes: GhostSocks convertendo dispositivos comprometidos em proxies residenciais, aumento expressivo de comprometimento de pacotes npm por tomada de contas e uso de APIs menos monitoradas da AWS para reduzir a visibilidade do CloudTrail sem acionar detecções baseadas apenas em StopLogging ou DeleteTrail.
As falhas no Progress ShareFile são relevantes pela combinação entre exposição à internet e encadeamento pré-autenticado. CVE-2026-2699 é descrita como bypass de autenticação no endpoint administrativo /ConfigService/Admin.aspx, enquanto CVE-2026-2701 permite execução remota de código em condição pós-autenticada. O risco técnico surge quando o bypass fornece o acesso necessário para alcançar a segunda etapa, reduzindo a exploração a uma cadeia que pode terminar em web shell no ambiente do Storage Zone Controller.
O impacto confirmado no contexto é execução remota de código e upload de web shells, não uma conclusão automática de exfiltração ou movimentação lateral. A correção disponível é o Storage Zone Controller 5.12.4, publicado em 10 de março de 2026. Como há cerca de 30 mil instâncias expostas à internet, a prioridade defensiva é localizar controladores publicados, validar versão, revisar acessos ao endpoint administrativo e procurar artefatos de upload anômalos em diretórios servidos pelo componente.
- Falhas envolvidas:
CVE-2026-2699eCVE-2026-2701. - Caminho citado:
/ConfigService/Admin.aspx. - Correção indicada: Storage Zone Controller 5.12.4.
O NoVoice foi distribuído por aplicativos que se passavam por utilitários, galerias de imagem e jogos, mantendo funcionalidade aparente para reduzir suspeita do usuário. A cadeia tenta obter root explorando 22 vulnerabilidades Android já corrigidas entre 2016 e 2021. Quando a elevação funciona, o malware passa a ter controle amplo sobre o dispositivo, desabilita SELinux, modifica bibliotecas do sistema e injeta código controlado pelo operador quando aplicativos específicos são abertos.
O comportamento descrito inclui coleta de informações do dispositivo, consulta a servidor remoto para selecionar exploits compatíveis, persistência, instalação arbitrária de aplicativos e acesso a dados de aplicativos abertos pelo usuário. O WhatsApp aparece como um dos alvos citados, com coleta acionada quando o aplicativo é iniciado. A campanha também evita determinadas regiões, como Beijing e Shenzhen, e executa mais de uma dezena de verificações contra emuladores, depuradores e VPNs. Google removeu os aplicativos, e as maiores concentrações de infecção foram reportadas em Nigéria, Etiópia, Argélia, Índia e Quênia.
- Distribuição por mais de 50 aplicativos.
- Pelo menos 2,3 milhões de downloads.
- Exploração de 22 vulnerabilidades Android corrigidas entre 2016 e 2021.
O alerta sobre aplicativos móveis desenvolvidos no exterior foca risco de coleta de dados, armazenamento em infraestrutura chinesa e possibilidade de código malicioso capaz de abusar de vulnerabilidades do sistema operacional. O comunicado não nomeia aplicativos específicos, mas descreve um perfil de risco ligado a aplicações populares mantidas por empresas estrangeiras, em especial baseadas na China. Para defesa corporativa, o ponto técnico é governança de aplicativos permitidos, revisão de permissões e separação entre dispositivos pessoais e acesso a dados sensíveis.
Outra frente móvel usa convites falsos para supostos testes beta de ferramentas relacionadas a ChatGPT e publicidade da Meta. As mensagens usam Firebase App Distribution, um serviço legítimo do Google para distribuição de versões de teste, com remetente associado a firebase-noreply at google[.]com. Após a instalação, os aplicativos solicitam credenciais do Facebook e levam a captura de contas. Uma campanha semelhante usa mensagens que imitam ChatGPT e Gemini para direcionar usuários a aplicativos iOS maliciosos publicados na App Store, disfarçados como ferramentas de negócios ou gerenciamento de anúncios.
- Serviço abusado: Firebase App Distribution.
- Conta visada: Facebook.
- Disfarces citados: teste beta, ferramentas de anúncios, ChatGPT, Gemini e Meta.
A atividade do GhostSocks aumentou de forma constante desde o fim de 2025. O malware, ofertado como serviço no fórum russo xss[.]is, transforma dispositivos comprometidos em proxies residenciais usando SOCKS5. Esse modelo permite que operadores roteiem tráfego malicioso pela conexão da vítima, dificultando a separação entre tráfego residencial legítimo e atividade de abuso. Em dezembro de 2025, GhostSocks foi observado operando junto ao Lumma Stealer, reforçando a continuidade da parceria iniciada em 2024.
O XLoader 8.7 recebeu mudanças voltadas a dificultar automação de análise. A versão usa strings criptografadas descriptografadas em tempo de execução, blocos de código criptografados que só são restaurados durante a execução e métodos adicionais para ocultar valores fixos e funções específicas. A comunicação de rede também combina múltiplas camadas de criptografia com chaves diferentes e servidores C2 de distração. Para defesa, a implicação é que detecções baseadas apenas em strings estáticas e indicadores simples tendem a perder eficácia contra amostras atualizadas.
- GhostSocks usa SOCKS5 em dispositivos infectados.
- GhostSocks foi observado junto ao Lumma Stealer.
- XLoader 8.7 aumenta ofuscação de código e criptografia de tráfego.
Os ecossistemas de código aberto registraram aumento de 13,6 vezes em avisos de malware desde janeiro de 2024. No npm, 1.011 avisos de tomada de conta foram registrados no OSV ao longo do tempo, dos quais 930 ocorreram em 2025. Entre os casos de 2025, 38,4% dos pacotes afetados tinham mais de 1.000 downloads mensais, 18,5% passavam de 10.000 e 11,1% superavam 100.000. O padrão indica seleção de pacotes com presença real em produção e em pipelines automatizados de CI/CD.
No ImageMagick, múltiplas vulnerabilidades zero-day podem ser encadeadas para execução remota de código por meio de upload único de imagem ou PDF. O ataque é descrito como funcional tanto na configuração padrão quanto na configuração restritiva chamada de segura. O impacto alcança distribuições Linux amplamente usadas e instalações WordPress que processam uploads de imagem. Como as falhas permaneciam sem correção no momento descrito, as medidas temporárias citadas são isolar o processamento de PDFs em sandbox sem rede, desabilitar XML-RPC no WordPress e bloquear GhostScript.
- npm teve 930 avisos de tomada de conta em 2025.
- ImageMagick é afetado por cadeia de zero-days via imagem ou PDF.
- Mitigações temporárias envolvem sandbox sem rede, XML-RPC desabilitado e bloqueio de GhostScript.
A evasão de CloudTrail descrita não depende apenas de chamadas óbvias como StopLogging ou DeleteTrail. O risco está em sequências de APIs administrativas que parecem manutenção isolada, mas reduzem a cobertura de auditoria quando combinadas. PutEventSelectors pode criar zonas de atividade sem a mesma visibilidade esperada; StopEventDataStoreIngestion e DeleteEventDataStore afetam a retenção forense de longo prazo; PutInsightSelectors pode desativar detecção de anomalias; DeleteResourcePolicy e DeregisterOrganizationDelegatedAdmin podem enfraquecer proteções cruzadas entre contas.
A consequência defensiva é que a monitoração precisa sair do foco exclusivo em eventos de desligamento explícito. A lógica de detecção deve correlacionar mudanças em seletores, stores, políticas de recurso, delegações organizacionais e insight selectors dentro de uma janela curta, especialmente quando partem de identidades pouco usadas, sessões recém-criadas ou contas com histórico administrativo limitado. A ausência de um evento clássico de parada de trilha não deve ser interpretada como manutenção inofensiva.
PutEventSelectorsalterando cobertura de eventos.StopEventDataStoreIngestionouDeleteEventDataStoreafetando retenção.DeleteResourcePolicyeDeregisterOrganizationDelegatedAdminalterando proteção organizacional.
A investigação deve combinar logs de aplicação, endpoint, identidade, nuvem e pipeline. Em ShareFile, procure acessos incomuns ao endpoint administrativo, mudanças inesperadas em arquivos servidos pelo Storage Zone Controller e criação de artefatos compatíveis com web shell. Em Android, a telemetria deve priorizar dispositivos com aplicativos removidos pelo Google, tentativas de root, desativação de SELinux, instalação de aplicativos sem caminho de distribuição esperado e execução de bibliotecas de sistema modificadas.
Em supply chain, revise pacotes npm atualizados em 2025 por mantenedores recém-alterados, publicações vindas de contas que passaram por recuperação ou mudança de credencial, divergências entre lockfiles e artefatos em cache, e execução inesperada durante instalação em CI/CD. Em AWS, correlacione alterações em CloudTrail, Event Data Stores, políticas e delegações. Para GhostSocks e XLoader, procure conexões SOCKS5 saindo de endpoints sem justificativa operacional, tráfego criptografado com padrões novos e execução de binários que aumentam ofuscação em tempo de execução.
- Acesso incomum a
/ConfigService/Admin.aspxe arquivos novos em áreas servidas pelo ShareFile. - Eventos Android envolvendo root, SELinux desabilitado e instalação arbitrária de aplicativos.
- Alterações npm de mantenedor, publicação e lockfile próximas a atualizações de produção.
- Chamadas AWS administrativas raras encadeadas em janela curta.
- Tráfego SOCKS5 originado de estáções de trabalho sem função de proxy.
A resposta deve começar pelos pontos com correção direta e exposição ampla. Instâncias do Progress ShareFile devem ser inventariadas e atualizadas para Storage Zone Controller 5.12.4, com revisão de acessos administrativos e busca por arquivos não autorizados. Ambientes que processam imagens ou PDFs com ImageMagick devem isolar conversões, remover acesso de rede do processo, bloquear GhostScript quando aplicável e desativar XML-RPC em WordPress quando esse componente não for necessário.
No móvel, organizações devem reforçar allowlists de aplicativos, impedir instalação por canais de teste não aprovados, revisar políticas de MDM e tratar solicitações de credenciais dentro de aplicativos recém-instalados como evento de risco. Em AWS, deteções precisam cobrir mudanças em seletores, stores, insights, políticas de recurso e administração delegada. Em supply chain, a prioridade é proteger contas de mantenedores, exigir autenticação forte, revisar publicações recentes, limpar caches suspeitos, validar lockfiles e rotacionar segredos que possam ter sido expostos a pacotes comprometidos.
- Atualizar ShareFile Storage Zone Controller para 5.12.4.
- Isolar processamento de PDF e imagem quando ImageMagick estiver exposto a uploads.
- Bloquear distribuição móvel fora de canais aprovados em dispositivos corporativos.
- Monitorar APIs menos comuns de CloudTrail e AWS Organizations.
- Revisar pacotes npm afetados por tomada de conta e rotacionar segredos de pipelines expostos.
0 Comentários