Um panorama detalhado dos recentes ataques cibernéticos, incluindo a exploração ativa de uma falha crítica no Splunk, campanhas de extorsão via integrações de aplicativos e novas táticas de ameaças mobile no Brasil e na América Latina.
| Componente | Dispositivos de rede Fortinet FortiGate, Splunk Enterprise, integrações de plataforma Salesforce, chips Apple A12 e A13, além de sistemas operacionais móveis Android e extensões de navegador como SiderAI e MaxAI. |
| Vetor | Exploração de vulnerabilidades de alta gravidade não autenticadas, reuso de credenciais vazadas em acessos legados, abuso de permissões em integrações de terceiros, injeção de scripts em páginas legítimas e exploração de serviços secundários mal configurados. |
| Impacto | Execução remota de código não autenticado, roubo de credenciais corporativas e tokens de acesso, desativação forçada de processos de segurança de endpoint (EDR), criptografia de dados e interceptação de operações financeiras em dispositivos móveis. |
| Prioridade | Atualizar aplicações corporativas vulneráveis, realizar auditoria de permissões em integrações ativas, aplicar autenticação multifator e monitorar comportamentos anômalos de instalação silenciosa e modificação de arquivos. |
O monitoramento contínuo do cenário de ameaças revelou uma semana marcada pela exploração ativa de vulnerabilidades críticas e pelo aprimoramento tático de grupos criminosos. Uma operação de grande escala, rastreada sob o nome FortiBleed, identificou e comprometeu sistematicamente dispositivos de firewall Fortinet FortiGate e gateways SSL VPN globalmente. Suspensa a operação desde fevereiro de 2026, atores de ameaças falantes de russo empregaram ferramentas automatizadas para validar o funcionamento de combinações de usuário e senha em mais de 80.000 ativos expostos. A campanha se baseou fortemente no reuso de credenciais obtidas em incidentes anteriores e no uso de táticas de força bruta contra dispositivos com políticas de senha defasadas e ausência de autenticação multifator.
No ecossistema corporativo, a confiança em integrações de terceiros provou ser um vetor frutífero. A Salesforce desativou temporariamente a integração do aplicativo Klue Battlecards após detectar uma atividade incomum que resultou no acesso não autorizado a um subconjunto de dados de clientes. O incidente foi atribuído a um grupo de extorsão denominado Icarus, que se aproveitou de uma credencial legada comprometida associada ao serviço de integração, exfiltrando informações corporativas sem que a plataforma principal da Salesforce apresentasse vulnerabilidades diretas.
Pesquisadores da Paradigm Shift divulgaram detalhes de uma falha intransponível no hardware Apple. Apelidada de usbliter8, a vulnerabilidade afeta o controlador USB Synopsys DWC2, presente nos chips A12 e A13. A falha reside no SecureROM e permite a execução arbitrária de código, sendo fundamental destacar que o artefato não pode ser corrigido através de atualizações de software, exigindo que o invasor possua acesso físico ao dispositivo vulnerável. Um código de prova de conceito foi disponibilizado publicamente, elevando o risco para dispositivos de uso corporativo ou alvos direcionados.
A mecânica das recentes campanhas de malware e ransomware demonstra uma sofisticação voltada para a eficiência operacional e a evasão de defesas automatizadas. Na infraestrutura de TI corporativa, a plataforma Splunk confirmou a exploração ativa limitada da falha CVE-2026-20253. O problema permite que usuários não autenticados executem operações de criação ou truncamento de arquivos. A vulnerabilidade existe porque o endpoint do serviço PostgreSQL sidecar carece de controles de autenticação adequados. Ao encadear múltiplas falhas, um invasor podeprogredir de um acesso anônimo para a execução remota de código (RCE), comprometendo logs sensíveis e estabelecendo persistência no ambiente.
No âmbito de endpoints Windows, a operação de Ransomware-as-a-Service (RaaS) conhecida como The Gentlemen desenvolveu e disponibilizou um framework interno chamado GentleKiller. O objetivo técnico desta ferramenta é encerrar os processos de soluções de detecção e resposta de endpoint (EDR) previamente ao processo de criptografia do sistema. O GentleKiller opera em oito variantes distintas, cada uma personificando um software legítimo e abusando de drivers maliciosos ou vulneráveis a nível de kernel para suspender as defesas, afetando mais de 400 processos pertencentes a 48 produtos de segurança.
A operação do cavalo de Troia Android Rokarolla evidencia um fluxo técnico altamente invasivo focado em instituições financeiras e de criptomoques. A infecção é iniciada quando um aplicativo dropper engana o usuário para instalar um payload secundário. Se passando pelo Google Play Protect e abusando dos serviços de acessibilidade do sistema operacional, o malware injeta overlays falsos sobre 217 aplicativos legítimos. Ele registra continuamente as entradas do usuário via keylogger, desvia transações financeiras e suprime a áudio do dispositivo para evitar alertas do sistema.
Campanhas direcionadas ao Brasil utilizam cada vez mais táticas operadas por humanos. O UnregStealer, que visa instituições financeiras na América Latina, começa com a engenharia social disfarçada como uma atualização obrigatória de certificado SSL. Isto aciona uma estagem em PowerShell, gerando a instalação de uma extensão fraudulenta do Chrome, que atua em conjunto com um operador humano no modelo adversary-in-the-middle (AitM), ativando manualmente os overlays de captura de dados conforme o comportamento da vítima.
A análise dos incidentes recentes delineia uma vasta lista de ambientes e dispositivos corporativos e de consumo diretamente impactados por códigos maliciosos e explorações. Os alvos abrangem desde dispositivos de perímetro de rede até componentes de hardware proprietário o que torna as ações de mitigação mais complexas.
- Dispositivos de firewall Fortinet FortiGate e dispositivos SSL-VPN expostos à internet, particularmente aqueles afetados pelas falhas
CVE-2026-24858,CVE-2025-59718eCVE-2025-59719ou sem MFA habilitado. - Instâncias Splunk Enterprise em versões anteriores à 10.2.4 e 10.0.7, expostas a usuários alcançáveis pela rede.
- Plataformas de e-commerce que fazem uso do widget Okendo Reviews, comprometido via supply chain para injeção de frameworks de carregamento de malware.
- Dispositivos móveis Android que possuem a opção de instalação de fontes desconhecidas habilitada, focados por trojans como Rokarolla, Pushka e UnregStealer.
- Navegadores Google Chrome equipados com extensões do painel lateral SiderAI (Spyder) e MaxAI (MaXSS), milionárias em instalações, permitível ao roubo de arquivos locais se exploradas.
- Dispositivos físicos Apple equipados com chips A12 e A13 suscetíveis à execução de código físico não corrigível no SecureROM.
As equipes de resposta a incidentes, threat intel e cibersegurança defensiva precisam focar em sinais de telemetria específicos que evidençiem o abuso de métodos legítimos de instalação e operações não autenticadas maliciosas. A prevenção de eventos gatilho analisa desde a comunicação com servidores burlados até criações estranhas de arquivos em endpoints baseados em Linux.
- Monitorar registros de acesso do PostgreSQL sidecar em servidores Splunk na rede interna por tentativas não autenticadas de manipulação dos endpoints do sistema, identificando tentativas de criação de arquivos arbitrários.
- Buscar em registros do Windows eventos de carregamento de drivers de kernel não assinados ou modificados recentemente, seguidos pelo encerramento abrupto de processos do sistema de segurança cibernética.
- Inspecionar Event Logs do Android managed para acessos无关es que acionam a permissão
PackageInstaller.Sessionestranhamente comandadas enquanto contornam a configuração de Restrição de Sistema presente a partir da versão Android 13, marca registrada do comportamento do Pushka. - Rastrear alterações não planejadas nos portais corporativos que incorporam formulários de avaliação ( widgets), buscando por códigos JavaScript ofuscados ou originários de domínios não confiáveis.
- Investigar alertas de soluções EDR envolvendo execução de scripts PowerShell que focam em estabelecimento de conexões reversas e chamadas para APIs internas raspa de dados.
A blindagem da infraestrutura tecnológica deve priorizar a aplicação imediata de correções fornecidas pelos fabricantes, além do içamento de barreiras de autenticação robustas. A gestão rigorosa sobre integrações corporativas e métodos de verificação de softwares de terceiros emções de bypass se mostra imperativa.
- Isolar e aplicar os patches de segurança nas implementações Splunk Enterprise afetadas, limitando severamente o acesso ao serviço contido do PostgreSQL apenas para hosts essenciais
- Exigir a aplicação de autenticação multifator (MFA) em massa para todos os acessos voltados à internet focados em dispositivos FortiGate e revê as credenciais que estejam marcadas suspeitas.
- Forçar a remoção das extensões afetadas SiderAI e MaxAI das máquinas dos usuários corporativos até que as falhas graves tenham siso solucionadas pelos desenvolvedores.
- Substituir os widgets e scripts de terceiros em lojas virtuais, como o Okendo Reviews, ou monitorar ativamente a integridade de hashes das fontes JavaScript incluídas.
- Implementar regras estritas no MDM (Mobile Device Management) para bloquear a instalação de pacotes Android que não provenientes oficialmente da Google Play Store e validar alertas de abuse de serviços de accesbilidade
0 Comentários