O anúncio do Project Glasswing, da Anthropic, evidencia uma mudança estrutural no cenário de cibersegurança: a capacidade de descoberta de vulnerabilidades por inteligência artificial já supera, com folga, a capacidade de correção do ecossistema. O modelo usado pelo projeto, Mythos, já identificou falhas críticas em sistemas amplamente auditados, incluindo vulnerabilidades históricas, além de encadear exploits complexos e automatizar técnicas avançadas de ataque com alta taxa de sucesso.

Detalhes interessantes sobre o Projeto Glasswing

• O Modelo Mythos: O projeto utiliza o Claude Mythos Preview, um modelo altamente avançado (atingindo 93.9% no SWE-bench) capaz de encontrar autonomamente vulnerabilidades do tipo zero-days em sistemas operacionais.

• Consórcio de Segurança: A iniciativa reúne cerca de doze grandes empresas de tecnologia e infraestrutura para colaborar na avaliação de riscos e aplicação de correções. Figuram nesta lista empresas como a Microsoft, Google, Apple, Linux Foundation, AWS (Amazon), etc.

• Descoberta de Falhas Antigas: O Mythos demonstrou capacidade de detectar vulnerabilidades com décadas de existência (ex: falhas de 27 anos) que passaram batidas por revisões humanas.

• Acesso Restrito: Devido ao seu alto poder de detecção de falhas, o modelo não foi disponibilizado ao público geral, sendo restrito às empresas que fazem parte do projeto, para o desenvolvimento de correções.

Quando encontrar falhas deixa de ser o problema?

Diante do risco imediato, o acesso à tecnologia foi restrito a grandes empresas para mitigação prévia das falhas. Ainda assim, menos de 1% das vulnerabilidades identificadas foram corrigidas, evidenciando um descompasso crítico entre descoberta e remediação.

O problema central não está mais em encontrar falhas, mas em tratá-las com velocidade compatível. O que antes era um desafio técnico virou um gargalo operacional.

Velocidade humana vs. velocidade de máquina

Enquanto defensores operam em ciclos de dias, atacantes já utilizam IA para conduzir ataques autônomos em escala e em tempo quase real, reduzindo drasticamente o tempo entre divulgação e exploração de vulnerabilidades.

Casos recentes mostram ataques totalmente automatizados comprometendo milhares de organizações simultaneamente. Paralelamente, sistemas autônomos já superam humanos na identificação de falhas e exploração, indicando que a tendência é de ampliação desse gap.

O modelo atual começa a quebrar

Programas tradicionais de segurança — baseados em testes periódicos, priorização genérica (como CVSS) e fluxos manuais de correção — tornam-se insuficientes nesse novo cenário. Quando o volume de vulnerabilidades cresce de forma exponencial, processos lineares simplesmente não acompanham.

O que muda na prática: validar antes de correr para corrigir

Como resposta, ganha força uma abordagem baseada em validação contínua, contextualizada ao ambiente e com ciclos automatizados de detecção, priorização e remediação.

Mais do que saber se uma falha é crítica em teoria, o foco passa a ser entender se ela é explorável naquele ambiente específico, naquele momento.

A métrica que realmente importa agora

A principal conclusão é direta: a eficácia da segurança cibernética não será mais medida pela quantidade de vulnerabilidades descobertas, mas pela capacidade de validá-las e corrigi-las antes que sejam exploradas.

Sem isso, o avanço da IA tende a transformar a atual superfície de ataque em um cenário de risco massivo, contínuo e cada vez mais difícil de conter.

Créditos:

https://thehackernews.com/2026/04/project-glasswing-proved-ai-can-find.html

O Google está no centro de uma nova controvérsia envolvendo privacidade e compartilhamento de dados com autoridades. A empresa teria quebrado uma promessa antiga ao entregar informações de um usuário para o governo dos Estados Unidos sem notificá-lo previamente.

📂 O caso: dados entregues sem chance de defesa

A situação envolve Amandla Thomas-Johnson, estudante de doutorado que estava nos EUA com visto acadêmico. Após participar brevemente de um protesto pró-Palestina em 2024, ele acabou entrando no radar das autoridades.

Meses depois, já fora do país, o estudante recebeu um e-mail do Google informando que seus dados haviam sido entregues ao Departamento de Segurança Interna dos EUA — sem qualquer aviso prévio ou possibilidade de contestação.

Esse ponto chama atenção porque o próprio Google afirma, há anos, que notifica usuários antes de responder a solicitações legais, justamente para permitir defesa.

Promessa quebrada e investigação na mesa

A organização Electronic Frontier Foundation (EFF) entrou com denúncias contra o Google, pedindo investigação por possíveis práticas enganosas. Segundo a entidade, a empresa não cumpriu sua política de transparência ao ignorar o aviso prévio.

O que foi compartilhado (e por que isso é preocupante)

Mesmo sem acesso ao conteúdo das mensagens, os dados entregues incluem:

• Endereços IP

• Endereço físico

• Identificadores da conta

• Horários e duração de sessões

Na prática, esse conjunto permite montar um perfil detalhado do usuário — incluindo localização aproximada, rotina e padrões de comunicação.

Ou seja: não precisa ler suas mensagens para entender sua vida.

Big Tech + governo = vigilância silenciosa?

O caso levanta um alerta importante: a combinação entre grandes empresas de tecnologia e poder estatal pode viabilizar investigações altamente invasivas — muitas vezes sem transparência.

Para o estudante, o impacto vai além do digital. Mesmo fora dos EUA, ele afirma não se sentir fora do alcance das autoridades, levantando dúvidas sobre vigilância internacional e possíveis consequências futuras.

O ponto central

No fim das contas, o episódio reforça uma preocupação crescente no mundo da segurança da informação:

👉 até que ponto seus dados estão realmente sob seu controle?

E o mais importante:

👉 quem garante que promessas de privacidade serão cumpridas quando entrarem em conflito com interesses governamentais?

Créditos:

https://www.eff.org/deeplinks/2026/04/google-broke-its-promise-me-now-ice-has-my-data

Enquanto todo mundo está preocupado com IA generativa, shadow AI e APIs, tem um elefante na sala que está passando batido: as extensões de navegador com IA.

Um relatório recente da LayerX escancarou esse problema. E não é pequeno.

Essas extensões simplesmente não aparecem nos logs de ferramentas SaaS (software como serviço, padrão hoje no mercado), não acionam DLP e ficam ali, dentro do navegador, com acesso direto a tudo: o que o usuário vê, digita e até sessões logadas.

E os números assustam:

• 60% mais chance de ter vulnerabilidades

• 3x mais acesso a cookies

• 2,5x mais chance de executar scripts remotos

• 6x mais propensas a aumentar permissões com o tempo

Você instala em segundos… e pode gerar um pesadelo permanente.

Todo mundo usa extensões — mas ninguém está olhando

Existe uma falsa sensação de que extensões são um risco “de nicho”, mas não são caro(a) padawan:

• 99% dos usuários corporativos usam pelo menos uma extensão

• Mais de 25% usam mais de 10

Agora vem o problema: a maioria das empresas não faz ideia de:

• quais extensões estão instaladas

• quem instalou

• quais permissões elas têm

• que dados elas acessam

As empresas passaram anos investindo em visibilidade de rede, endpoint e identidade… e o navegador? virou aquele ponto cego.

Extensões de IA: o canal invisível de uso de IA

Quando falamos de uso de IA nas empresas, o foco costuma ser:

• ChatGPT

• APIs

• ferramentas SaaS

Mas as extensões seguem outro caminho.

Elas ficam dentro do navegador e conseguem acessar:

• conteúdo das páginas

• dados digitados

• sessões ativas

Tudo isso sem passar pelos controles tradicionais.

Na prática, criam uma camada paralela de uso de IA — totalmente fora de governança.

E já estão crescendo rápido: cerca de 1 em cada 6 usuários corporativos já usa pelo menos uma.

Não é só hype — é risco real também

Se você acha que é “só mais uma extensão”, não é.

Comparadas com extensões comuns, as de IA são bem mais perigosas:

• 60% mais chances de CVEs

• 3x mais acesso a cookies (roubo de sessão, alguém?)

• 2,5x mais permissões de script (extração e manipulação de dados)

• 2x mais controle sobre abas (phishing e redirecionamento silencioso)

Traduzindo: é praticamente um kit completo para ataque rodando dentro do navegador.

O perigo que muda com o tempo

Outro erro comum: tratar extensão como algo estático.

Só que elas:

• recebem updates

• mudam permissões

• podem até trocar de dono

E aqui vem o dado crítico:

• extensões de IA são 6x mais propensas a mudar permissões

• mais de 60% dos usuários já têm uma que mudou no último ano

Ou seja: aquilo que era seguro ontem… hoje pode não ser mais.

O “gap” de confiança é maior do que parece

Muita gente usa sinais básicos pra confiar em extensões:

• número de downloads

• frequência de atualização

• política de privacidade

Mas o cenário real é meio preocupante:

• mais de 10% têm menos de 1.000 usuários

• 25% têm menos de 5.000

• cerca de 40% não recebem update há mais de 1 ano

No caso das extensões de IA, isso é ainda pior.

Resultado: baixo nível de confiança + pouca visibilidade = risco alto.

O que as empresas podem fazer na prática?

O relatório aponta alguns caminhos bem diretos:

1. Mapear tudo
Faça um inventário completo das extensões em uso. Sem isso, você está no escuro.

2. Tratar extensões de IA como risco elevado
Mais controle, mais restrição, mais atenção.

3. Monitorar comportamento (não só permissões)
Aprovar uma vez não resolve. Tem que acompanhar mudanças.

4. Criar critérios mínimos de confiança
Poucos usuários? Sem política de privacidade? Sem updates?
Trate como suspeito.

Baixe o relatório completo de Segurança de Extensões da LayerX para entender o escopo total dessas descobertas, identificar onde realmente você está vulnerável e encontrar um caminho claro para controlar essa crescente superfície de ataque, sem interromper a produtividade da sua empresa.

Conclusão: o risco não é periférico, não está apenas na borda

Extensões sempre foram vistas como “comodidade”.

Hoje, elas são:

• amplamente usadas

• altamente privilegiadas

• praticamente invisíveis para a segurança

E isso cria uma exposição direta a dados sensíveis e sessões de usuários.

Em outras palavras:
o navegador virou um campo de batalha… e as extensões são agentes infiltrados (kkkk).

As empresas precisam mudar a sua percepção de segurança em relação as extensões de navegador. Senão já viu né?

Créditos:

https://thehackernews.com/2026/04/browser-extensions-are-new-ai.html

Uma operação de espionagem digital sob encomenda (hack-for-hire), possivelmente ligada a interesses governamentais indianos, está na mira após atingir jornalistas, ativistas e figuras públicas na região MENA (Oriente Médio e Norte da África). A investigação foi conduzida por organizações como Access Now, Lookout e SMEX.

Phishing direcionado com alto nível de personalização

Entre os alvos estão dois jornalistas egípcios bastante conhecidos por críticas ao governo. Eles foram atingidos por ataques de spear phishing entre 2023 e 2024, com páginas falsas que imitavam serviços da Apple e Google para roubar credenciais e códigos de autenticação em dois fatores.

Os ataques não foram genéricos. Houve engenharia social bem construída, incluindo abordagens via LinkedIn com falsas propostas de trabalho, levando as vítimas a interações aparentemente legítimas antes da tentativa de comprometimento.

Abuso de OAuth do Google eleva sofisticação

Um dos pontos mais interessantes da campanha foi o uso indevido do OAuth 2.0 do Google. Em vez de simplesmente roubar senha, os atacantes induziam a vítima a conceder permissões a um app malicioso.

Na prática, isso reduz a suspeita do usuário, já que a interface é legítima. Se a pessoa já estiver logada, basta autorizar o acesso — abrindo a porta diretamente para os atacantes sem precisar capturar a senha.

Ataques via mensageiros e falsa identidade da Apple

Outro vetor explorado foi o envio de links maliciosos via iMessage e WhatsApp, se passando por suporte oficial da Apple. Também há indícios de tentativas envolvendo Telegram e Signal.

Um jornalista libanês chegou a ter sua conta Apple totalmente comprometida, com adição de um dispositivo virtual para manter acesso persistente aos dados.

Infraestrutura e domínios suspeitos

Os atacantes utilizaram domínios cuidadosamente montados para parecerem legítimos, explorando variações de serviços populares como Apple, Signal e Telegram. Um detalhe curioso é o uso recorrente do padrão “com-ae[.]net” e "youtubepremiumapp[.]com,", já associado a campanhas anteriores de spyware Android.

Essa infraestrutura também foi ligada a malwares como ProSpy e ToSpy, capazes de coletar contatos, SMS, arquivos e metadados do dispositivo.

Possível ligação com grupo Bitter

A análise da Lookout aponta conexões com o grupo Bitter, conhecido por operações de ciberespionagem alinhadas a interesses do governo indiano. No entanto, há uma diferença importante: esse grupo tradicionalmente não atacava membros da sociedade civil.

Isso levanta duas hipóteses:

• Expansão do escopo do próprio grupo

• Uso de terceiros em um modelo “hack-for-hire”

Malware mobile segue como arma principal

Mesmo sem confirmação de spyware direto nos casos analisados, a infraestrutura e os métodos utilizados mostram que o objetivo pode facilmente evoluir para infecção com malware.

A tendência é clara: dispositivos móveis continuam sendo o elo mais explorado em campanhas de vigilância, seja via ferramentas comerciais, terceirização ou operações estatais diretas.

Créditos:

https://thehackernews.com/2026/04/bitter-linked-hack-for-hire-campaign.html

Agências dos Estados Unidos, incluindo o FBI e a CISA, emitiram um alerta sobre ataques cibernéticos conduzidos por grupos ligados ao Irã. Esses ataques estão focados em dispositivos industriais conhecidos como PLCs (controladores lógicos programáveis), especialmente os modelos da Rockwell Automation/Allen-Bradley que estão expostos diretamente na internet.

Alvos dos Ataques

Segundo o alerta, os invasores estão explorando falhas de segurança nesses equipamentos para acessar sistemas de tecnologia operacional (OT), utilizados em setores críticos como energia, água, saneamento e serviços governamentais. O objetivo principal é causar interrupções nos processos e gerar prejuízos financeiros.

Como os Ataques Funcionam

Os ataques ocorrem principalmente por meio da manipulação dos arquivos de projeto dos PLCs e da alteração de informações exibidas em sistemas de monitoramento, como HMI e SCADA. Isso pode fazer com que operadores visualizem dados incorretos ou percam o controle sobre processos industriais, resultando em falhas operacionais.

Técnicas Utilizadas

As investigações apontam que os atacantes utilizam ferramentas legítimas de engenharia, como o Studio 5000 Logix Designer, além de acessos remotos por meio de protocolos comuns em redes industriais. Também foi identificado o uso de ferramentas de acesso remoto, como SSH (Dropbear), e comunicação por portas específicas desses ambientes.

Atores Envolvidos

O grupo responsável por essa campanha é conhecido como CyberAv3ngers, associado à Guarda Revolucionária do Irã (IRGC), e também identificado por outros nomes no setor de segurança. Desde novembro de 2023, esse grupo já comprometeu pelo menos 75 dispositivos, incluindo PLCs utilizados em sistemas de água e esgoto.

Contexto Atual

As autoridades destacam que esse tipo de ataque tem aumentado recentemente, possivelmente em função de tensões geopolíticas envolvendo Irã, Estados Unidos e Israel. Há ainda indícios de que outros fabricantes de equipamentos industriais, como a Siemens, também possam ser alvo dessas ações.

Recomendações de Segurança

Como medidas de proteção, recomenda-se que as organizações evitem expor PLCs diretamente na internet, utilizem firewalls para restringir acessos, monitorem o tráfego de rede em busca de atividades suspeitas e revisem logs regularmente. Também é fundamental manter os dispositivos atualizados, desativar serviços desnecessários, remover credenciais padrão e adotar autenticação multifator sempre que possível.

Por fim, é importante que as empresas revisem os indicadores de comprometimento divulgados pelas autoridades e estejam preparadas para responder rapidamente a incidentes, buscando apoio de órgãos especializados quando necessário.

Créditos:

https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.html

A empresa de cibersegurança chamada Mandiant Threat Defense (adquirida pelo Google em 2022), descobriu uma ampla operação de crimes cibernéticos que tiram proveito desse entusiasmo do público por novas ferramentas de inteligência artificial.

Um grupo conhecido pelo nome de UNC6032 que acredita-se estar sediado no Vietnã, estaria enganando pessoas com anúncios falsos em redes sociais, como Facebook e LinkedIn, que promovem desde meados de 2024 aqueles geradores de vídeos de IA populares, como o Luma AI e o Canva Dream Lab.

Os ataques

No entanto, esses sites baixam secretamente softwares maliciosos, incluindo infostealers e backdoors, que roubam informações confidenciais, como detalhes de login e dados pessoais. Os dados roubados provavelmente são vendidos em mercados online ilegais, como a dark web.

Esse tipo de ataque é uma grande preocupação para todos. De acordo com o report M-Trends da Mandiant, credenciais roubadas são a segunda forma principal de invasão de sistemas por cibercriminosos. A empresa encontrou muitos desses anúncios que alcançam milhões de usuários, e acredita que campanhas semelhantes estejam ativas em outras redes sociais.

Por exemplo, um ataque específico investigado pela empresa de cibersegurança começou com um anúncio no Facebook da Luma Dream AI Machine. Quando um usuário clicava em “Comece agora gratuitamente”, era conduzido por uma série de etapas que imitavam um processo real de criação de vídeos com IA.

Após a barra de carregamento, um botão de download aparece, instalando o software malicioso em vez de baixar um vídeo. Os arquivos baixados utilizam um truque com caracteres ocultos e o ícone de um arquivo .mp4 falso para parecerem inofensivos.

Os malwares

O malware usado nesses ataques que a Mandiant identificou como STARKVEIL, é um programa complexo escrito na linguagem Rust. Ele pode exibir mensagens de erro falsas para induzir os usuários a reabrirem o programa. O software então instala outras ferramentas maliciosos, como XWORM, backdoor FROSTRIFT e o downloader GRIMPULL.

O software malicioso usado nesses ataques, que a Mandiant rastreia como STARKVEIL, é um programa complexo escrito em Rust . Ele pode exibir mensagens de erro falsas para induzir os usuários a reabrir o programa. O software então instala outras ferramentas perigosas, como XWORM , backdoors FROSTRIFT e o downloader GRIMPULL.

Em uma publicação em seu blog, a Mandiant detalha todas essas questões técnicas envolvendo ameaças e mostra que está colaborando com a Meta e o LinkedIn no combate a essa campanha. Embora a Meta tenha removido muitos desses anúncios, outros novos aparecem diariamente. É uma ameaça contínua que exige colaboração constante com a indústria de tecnologia para proteger os usuários.

Yash Gupta, gerente sênior da Mandiant, alerta que “sites bem elaborados que se passam por ferramentas legítimas de IA podem representar uma ameaça a qualquer um. Os usuários precisam ter cuidado ao interagir com anúncios aparentemente inofensivos”.

É fato que as ferramentas de IA estão se tornando populares, e os cibercriminosos continuarão a explorar esse interesse. Recomendamos que você seja cauteloso ao testar essas novas ferramentas e verifique sempre o endereço do site antes de interagir.

Crédito:

https://hackread.com/fake-ai-video-tool-ads-facebook-linkedin-infostealers/

O DocuSign, famosa ferramenta para assinatura digital de documentos com mais de 1 bilhão de usuários e 95% das empresas da Fortune 500, é tema de sofisticadas campanhas de phishing executadas por cibercriminosos que possuem o objetivo de coletar credenciais corporativas, invadir redes e executar fraudes financeiras.

Ameaças cibernéticas que usam plataformas confiáveis em seus ataques

Tendo em vista que o phishing é responsável por 19% dos vazamentos de dados e 60% envolvem o fator humano, conforme descobertas da empresa Verizon, entender essas ameaças é essencial para as empresas que buscam proteger suas informações críticas.

As campanhas de phishing com o tema DocuSign empregam táticas de engenharia social para enganar usuários. Estas vítimas geralmente recebem e-mails imitando o layout da ferramenta, com avisos urgentes que solicitam a revisão de documentos através de botões amarelos clicáveis ou anexos de QR codes.

Ao serem levados para sites maliciosos, como páginas falsas de login da Microsoft, os usuários são induzidos a digitarem credenciais de acesso ou detalhes financeiros.

Os QR codes representam um risco único, pois os dispositivos móveis usados para escaneá-los geralmente não possuem um software de segurança robusto, o que facilita o contorno das defesas pelos invasores.

Esses ataques também podem servir como ponte para o escalonamento de privilégios, movimentação lateral dentro de redes corporativas, e até mesmo a implantação de ransomware ou a exfiltração de dados.

Mecanismos de ataques de phishing usando o DocuSign

Outros incidentes destacam a diversidade desses golpes, com cibercriminosos registrando contas reais do DocuSign para enviar e-mails com aparência autêntica, falsificando entidades confiáveis, como fornecedores ou agências municipais.

Outros orquestram golpes de faturas falsas para enganar empresas e fazer com quem realizem algum tipo de pagamento ou comentem fraudes de reembolso que induzem as vítimas a divulgar informações pessoais por telefone.

Além disso, alguns invasores exploram as APIs do DocuSign para criar notificações aparentemente legítimas, em que misturam algo realmente genuíno com o engano cometido pelas vítimas.

Normalmente esses e-mails podem se passar por departamentos de RH ou de Pagamento, criando aquele senso de urgência, o que pode levar os usuários a agirem sem nenhum critério. O resultado disso pode ser o acesso não autorizado a sistemas corporativos, perdas financeiras ou dados pessoais roubados aparecendo na dark web.

Como se proteger?

De acordo com um report da ESET, a proteção contra phishing do DocuSign requer uma abordagem em camadas.

As empresas precisam priorizar a educação de seus funcionários por meio de programas de conscientização sobre phishing, ensinando-os a analisar e-mails em busca de remetentes suspeitos, assinaturas incompatíveis ou erros gramaticais e a verificar URLs antes de clicar nos links.

E-mails legítimos do DocuSign incluem códigos de segurança para acesso direto aos documentos em sua plataforma, nunca por meio de links de e-mail ou anexos.

Implementar a autenticação multifator (MFA) em contas corporativas, impor uma higienização de senhas fortes por meio de gerenciadores de senha e implementar soluções avançadas de segurança para detecção de links e anexos maliciosos são proteções técnicas essenciais.

As políticas de segurança precisam desencorajar a interação com esses e-mails não solicitados, incentivando os usuários a relatar mensagens suspeitas aos times de segurança e ao endereço de denúncia de spam da DocuSign.

Caso ocorra alguma violação, ações rápidas, como redefinição de senhas, verificações de malware, isolamento de dispositivos e monitoramento da dark web, são cruciais para conter danos.

Seja para fins comerciais ou pessoais, o uso do DocuSign deve ser equilibrado com a vigilância constante, para que não haja sucesso nas investidas dos cibercriminosos que exploram a confiança em ferramentas legítimas.

Créditos:

https://gbhackers.com/threat-actors-use-fake-docusign-notifications/

De acordo com o DoJ (Departamento de Justiça Americano), Ryan Mitchell Kramer se declarou culpado por acessar um computador e obtido informações, além de ter ameaçado danificar dados, além de duas acusações de crime que podem resultar em uma pena de prisão de até cinco anos cada.

Kramer está por trás do ataque de 2024 contra a The Walt Disney Company. A gigante da mídia iniciou uma investigação sobre o incidente em julho do ano passado, após um grupo de hackers chamado NullBulge ter anunciado o roubo de 1,1 TB de dados dos canais internos da ferramenta de colaboração Slack usada pela empresa, incluindo mensagens, informações sobre projetos não lançados, credencias de logins e códigos-fontes.

NullBulge alegou ser um “grupo hacktivista que protege os direitos dos artistas e luta para garantir uma compensação justa pelos seus trabalhos”.

A empresa de segurança SentinelOne detalhou as atividades do NullBulge, apontando que suas ações contradiziam suas alegações de hacktivismo. A SentinelOne analisou como o cibercriminoso atacou entidades relacionadas a IA e jogos com ransomare e outros malwares por meio de código malicioso implantado em plataformas como o GitHub e Hugging Face.

O malware distribuído por Kramer estava disfarçado de ferramenta que cria arte gerada por IA. Na realidade, ele implantava um malware que permitia ao hacker obter acesso ao dispositivo da vítima.

No caso da Disney, um funcionário tinha baixado a ferramenta falsa de IA em seu computador pessoal. As credenciais armazenadas no dispositivo comprometido permitiram que Kramer obtivesse acesso à conta do Slack usada pelo funcionário como parte de seu trabalho na Disney. Isso permitiu que o NullBulge roubasse grandes quantidades de informações de milhares de canais do Slack operados pela Disney.

O Departamento de Justiça afirmou que Kramer — que alegou representar o grupo hacktivista NullBulge, supostamente sediado na Rússia — tentou extorquir o funcionário da Disney. Como o funcionário não respondeu, Kramer vazou suas informações pessoais, juntamente com os arquivos roubados da Disney.

Parece que a Disney decidiu parar de usar o Slack para comunicação interna após o vazamento de dados.

Créditos:

https://www.securityweek.com/man-admits-hacking-disney-and-leaking-data-disguised-as-hacktivist/

Em tempos de infecções por ransomware e pedidos de resgates assolarem empresas de vários segmentos, as ferramentas de descriptografia de arquivos infectados vêm a calhar, na tentativa de recuperar dados criptografados sem a necessidade das vítimas pagarem resgates.

Essas ferramentas ajudam as empresas a recuperar o acesso aos seus arquivos, por meio de chaves de descriptografia ou algorítmos que desbloqueio dados criptografados.

Os projetos

O projeto No More Ransomware é um esforço colaborativo que oferece uma ampla gama de “descriptografadores” (utilizaremos o termo decryptor) para mais de 100 cepas de ransomware. A Kaspersky, por exemplo, fornece ferramentas específicas como o Rakhni Decryptor, que tem como alvo diversas variantes de ransomware.

O Ransomware File Decryptor da Trend Micro suporta vários tipos de ransomware, incluindo o WannaCry e Petya. J

O Ransomware File Decryptor da Trend Micro suporta vários tipos de ransomware, incluindo WannaCry e Petya. A AVG oferece ferramentas para cepas específicas como Apocalypse e TeslaCrypt.

A Emsisoft fornece uma biblioteca de descriptografadores para vários tipos de ransomware, incluindo Apocalypse e Xorist. A Avast também oferece um conjunto de ferramentas de descriptografia para inúmeras variantes de ransomware. Essas ferramentas são continuamente atualizadas para combater ameaças de ransomware em evolução.

Eles geralmente exigem a identificação da cepa específica de ransomware para aplicar o método de descriptografia correto. Embora eficazes, essas ferramentas não garantem a recuperação completa dos dados.

Atualizações regulares são cruciais conforme novas cepas de ransomware surgem. Os usuários devem sempre verificar a compatibilidade e seguir as instruções cuidadosamente para garantir uma descriptografia bem-sucedida.

Aqui estão nossas escolhas para as 10 melhores ferramentas de descriptografia de arquivos de ransomware e seus recursos:

1. Kaspersky Rakhni Decryptor: descriptografador especializado para o Rakhni, Agent. iih e outras famílias de ransomware.

2. Ferramenta de descriptografia de ransomware Emsisoft: ferramenta abrangente que oferece suporte a diversas variantes de ransomware para uma descriptografia mais eficiente.

3. McAfee Ransomware Recover: ferramenta de recuperação eficaz para vários tipos de ransomware com uma interface fácil de usar.

4. 360 Ransomware: ferramenta gratuita que oferece descriptografia para vários tipos de ransomware com atualizações regulares.

5. Ferramenta de descriptografia de ransomware AVG: descriptografia fácil de usar para tipos comuns de ransomware, garantindo a recuperação de arquivos.

6. Trend Micro Ransomware File Decryptor: solução robusta para descriptografar arquivos afetados por várias cepas de ransomware.

7. Projeto No More Ransomware : iniciativa colaborativa que fornece ferramentas de descriptografia gratuitas para muitas variantes de ransomware.

8. Ferramenta de descriptografia de arquivos PyLocky Ransomware: Esta é uma ferramenta específica para descriptografar arquivos criptografados pelo ransomware PyLocky.

9. Ferramenta de descriptografia do ransomware Petya: ferramenta dedicada para descriptografar arquivos afetados pelo ransomware Petya.

10. Ferramenta de descriptografia CryptoLocker: ferramenta eficiente para descriptografar arquivos bloqueados pelo ransomware CryptoLocker.

Veja mais detalhes sobre cada umas das ferramentas:

O que achou do post?

Créditos:

https://cybersecuritynews.com/ransomware-file-decryptor-tools/

Recentemente, um hacker sob o codinome “rose87168” esteve vendendo informações possivelmente associadas a mais de 140 mil clientes do Oracle Cloud, incluindo credenciais criptografadas. O hacker inicialmente esperava extorquir cerca de 20 milhões de dólares da Oracle, mas começou a oferecer os dados para qualquer um ou trocá-los por exploits zero-day.

Após as alegações do hacker virem à tona, de que ele estaria de posse de dados da Oracle, a empresa negou categoricamente a invasão no Oracle Cloud, dizendo que “não houve nenhuma violação de dados. As credenciais publicadas não estão relacionadas ao Oracle Cloud. Nenhum cliente da solução sofreu uma violação ou perdeu dados”.

No entanto, o hacker tem compartilhado vários tipos de informações para provar suas alegações, incluindo uma amostra de 10 mil registros de dados de clientes, um link para um arquivo demonstrando acesso aos sistemas de nuvem da Oracle, credenciais de usuário e um longo vídeo que parece ter sido gravado em uma reunião interna da Oracle.

Várias empresas de segurança e sites de notícias especializados têm apontado que as informações vazadas pareciam genuínas e associadas a um ambiente de produção. O site SecurityWeek e outras receberam a confirmação de que alguns clientes do Oracle Cloud tiveram seus dados incluídos no vazamento.

A Oracle notifica alguns clientes sobre a violação de dados

Existem vários relatórios independentes da Oracle notificando privadamente os clientes afetados e confirmando que ocorreu uma violação de dados. Por outro lado, os detalhes permanecem obscuros e parecem haver algumas informações conflitantes.

A Bloomberg soube por pessoas familiarizadas com o assunto de que a Oracle começou a informar privadamente os clientes sobre uma violação de dados que impactou nomes de usuários, chaves de acesso e senhas criptografadas. O FBI e a CrowdStrike estão investigando o suposto crime.

De acordo com algumas fontes, a Oracle está informando aos clientes que o incidente envolveu um ambiente legado que não está em uso há 8 anos e que as credenciais comprometidas representam pouco risco. Uma fonte diferente disse à publicação que algumas das credenciais comprometidas são de 2024.

Como o ataque ocorreu?

A empresa de segurança CybelAngel soube de uma fonte não identificada que os servidores em nuvem ‘Gen 1’ foram afetados (os servidores mais novos, os ‘Gen 2’, não foram afetados) e que as informações comprometidas têm pelo menos 16 meses e não incluem detalhes pessoais completos.

“Nossa fonte, que não estamos nomeando conforme solicitado, está relatando que a Oracle supostamente identificou um invasor que estava no serviço de identidade compartilhada já em janeiro de 2025”, disse a CybelAngel.

“Essa exposição foi facilitada por meio de um exploit Java de 2020 e o hacker conseguiu instalar um webshell junto com um malware, que tinha como alvo específico o banco de dados Oracle IDM, conseguindo exfiltrar dados. A Oracle supostamente tomou conhecimento de uma potencial violação de dados no final de fevereiro e investigou esse problema internamente”, acrescentou. “Em poucos dias, a Oracle aparentemente conseguiu remover a ameaça quando a primeira demanda por resgate foi feita no início de março”.

O hacker afirma que informações de 2025 também foram comprometidas.

O ataque realmente ocorreu?

O pesquisador de segurança cibernética Kevin Beaumont, que acompanha a história, soube de clientes da nuvem da Oracle que as notificações da empresa foram apenas verbais, que não há notificações por escrito.

“A Oracle esta tentando fazer declarações sobre o Oracle Cloud e usar palavras muito específicas para evitar responsabilidade. Isso não está certo. A Oracle precisa falar clara, aberta e publicamente o que ocorreu, como isso impacta os clientes e o que eles estão fazendo sobre isso”, disse o pesquisador.

A vida da Oracle não está fácil

Relatos de um hacking aparentemente não relacionado com o Oracle Health também têm circulados nos últimos dias. De acordo com o site Bleeping Computer, as informações de pacientes de várias organizações de saúde dos EUA foram comprometidas naquele incidente.

Conclusão?

Realmente a Oracle confirmou que houve um hacking em seus sistemas de nuvem, mas não ficou claro 100% se ele ocorreu em tempos atuais, por mais que possam existir alguns relatos do hacking ser de 2025.

O que achou do post?

Créditos:

https://www.securityweek.com/oracle-confirms-cloud-hack/

Um alerta de segurança crítico foi emitido para administradores de sites Wordpress após a descoberta de duas vulnerabilidades de alta gravidade no plugin “WP Ultimate CSV Importer”.

Com mais de 20 mil instalações ativas, as falhas no plugin representam um risco significativo para os sites afetados, podendo levar ao controle completo do site pelos invasores.

Com mais de 20.000 instalações ativas, as falhas do plugin representam um risco significativo para os sites afetados, podendo levar à tomada completa do site por invasores.

Exploits de upload e exclusão de arquivos

As vulnerabilidades, catalogadas como CVE-2025-2008 e CVE-2025-2007, foram divulgadas de forma ética em março de 2025 pelo pesquisador de segurança “mikemyers” através do Wordfence Bug Bounty Program:

CVE-2025-2008: Upload de arquivo arbitrário

A funcionalidade de importação do plugin não tinha possuía uma validação adequada do tipo de arquivo, permitindo que invasores autenticados com acesso de nível de assistente ou superior, carregassem arquivos de forma arbitrária, incluindo scripts PHP (e tem gente falando que o PHP morreu) maliciosos. O código carregado poderia então ser executado para se obter controle remoto do servidor onde o site estaria hospedado.

CVE-2025-2007: Exclusão arbitrária de arquivo

Um erro na função de exclusão de arquivo do plugin permitiu que invasores excluíssem qualquer arquivo no servidor, como o arquivo crítico wp-config.php. A exclusão deste arquivo força o site a retornar a um estado de configuração do zero, potencialmente permitindo que invasores redirecionem o site para um banco de dados sob seu controle para exploração posterior.

Ambas as vulnerabilidades receberam altas pontuações CVSS, de 8.8 e 8.1, respectivamente, refletindo o sério risco que representam.

Correção das vulnerabilidades

Após a notificação das vulnerabilidades em 5 de março deste ano, a criadora do plugin, a Smackcoders, agiu prontamente. Após uma colaboração com o time do Wordfence, uma versão corrigida (7.19.1) foi lançada em 25 de março deste ano.

Usuários do Wordfence com plugins de segurança ativos, estão protegidos desde a divulgação das vulnerabilidades, mas atualizações gerais continuam sendo essenciais.

Usuários e administradores precisam atualizar o plugin para a versão corrigida

Todos os usuários do plugin WP Ultimate CSV Importer devem atualizar imediatamente para a versão 7.19.1 ou superior.

Os administradores devem garantir que seus sites não estão executando versões vulneráveis, pois essas explorações podem levar a resultados sérios, desde violações de dados até a invasão dos sites.

A descoberta dessas e outras vulnerabilidades destaca a necessidade contínua de vigilância na manutenção da segurança de sites WordPress. Não basta apenas colocar um site em operação e não se preocupar com a segurança dele.

Dica do Canal Hacker

Empresas que possuem sites funcionando sob o WordPress precisam saber o que está “rolando debaixo do capô”. Muitas instalações são mantidas por empresas de marketing e desenvolvimento de sites, onde muitas delas, acabam não se preocupando com a segurança dos sites desenvolvidos, em manter os plugins atualizados sempre, etc. Sendo o caso, converse com a sua agência para que o melhor seja feito.

De qualquer forma, caso a empresa em que trabalha ou uma agência, seja a responsável direta por manter a estrutura do site, pense então na segurança. Mas também não saia atualizando plugin “à torto e à direita”. Converse com os desenvolvedores do seu site e explique a necessidade de atualizar o plugin, para que seja validado a necessidade de recodificação da aplicação, de forma que se adeque à nova versão do plugin.

Sendo a sua empresa ou uma agência, responsável por manter a estrutura e desenvolvimento site, é a imagem da empresa que está em jogo. Realize varreduras recorrentes para saber se está vulnerável ou não.

O que achou do post?

Créditos:

https://gbhackers.com/20000-wordpress-sites-at-risk/

Ainda em fase de testes, o recurso permitirá em breve que usuários corporativos do Gmail enviem e-mails com Criptografia de Ponta a Ponta (E2EE/End-to-End Encryption) para qualquer caixa de entrada de contas Gmail, e depois, para qualquer caixa de entrada, até o final do ano.

Esta é uma medida de segurança aprimorada, uma alternativa ao protocolo Secure/Multipurpose Internet Mail Extensions (S/MIME), que requer o aquisição, o gerenciamento e a implementação de certificados por usuário para ser utilizado.

No modelo S/MIME “os usuários finais precisam descobrir se eles e os destinatários possuem o S/MIME configurado (poucos têm), e então, passar pelo trabalho de trocar certificados antes que os e-mails criptografados possam ser trocados”, observa o Google.

Como a nova abordagem vai funcionar com o E2EE?

O Google diz que a nova abordagem simplifica significativamente as coisas ao permitir o uso do E2EE para qualquer mensagem, independentemente do destinatário, por meio de chaves de criptografias controladas pela organização, sem a necessidade de investimento em recursos adicionais, como a configuração de S/MIME ou o gerenciamento de certificados.

As mensagens enviadas para caixas de entrada do Gmail são automaticamente descriptografadas e disponibilizadas aos destinatários. Se enviadas para um serviço de e-mail diferente, o destinatário receberá um convite para visualizar a mensagem em uma versão restrita do Gmail e terá a opção de usar uma conta de convidado do Google Workspace para interagir com ela.

Caso o serviço de e-mail do destinatário possua o S/MIME configurado, o Gmail entregará a mensagem E2EE usando este protocolo.

“Os times de TI também têm a opção de exigir que todos os destinatários externos (mesmo sendo usuários do Gmail) usem a versão restrita do Gmail Workspace. Isso ajuda a garantir que os dados da organização não sejam armazenados em servidores e dispositivos de terceiros”, explica o Google.

O novo recurso, diz o Google, aproveita a criptografia no lado do cliente (CSE), um controle técnico do Workspace que permite que as organizações protejam e-mails, documentos e outros recursos usando chaves de criptografia que elas controlam e armazenam fora infraestrutura do Google.

“Os dados são criptografados no cliente antes de serem transmitidos ou armazenados na nuvem do Google, tornando-os indecifráveis para a própria Google e outras entidades terceirizadas e ajudando a atender requisitos regulatórios, como a soberania dos dados, HIPAA e controles de exportação”, explica o Google.

Na terça-feira, dia 1 de abril, o Google também anunciou a disponibilidade geral de vários recursos de segurança no Gmail, incluindo o modo padrão CSE, prevenção contra perda de dados (DLP), rótulos de classificação de mensagens e um novo modelo de IA para proteção contra ameaças.

O que achou do post?

Créditos:

https://www.securityweek.com/gmail-brings-end-to-end-encrypted-emails-to-all-enterprise-users/

Muito se falou sobre a Cellebrite, ferramenta utilizada para ajudar na solução do caso Vitória (leia esta e esta outra notícia para saber mais).

A Cellebrite é uma tecnologia de ponta utilizada por vários governos e empresas do mundo inteiro. Existem versões de software e de hardware, como o UFED 4PC, UFED Touch3 Ruggedized Tablet, UFED Ruggedized Laptop e o Cellebrite Forensic Workstation (estação forense de alto desempenho). Maiores informações aqui e aqui.

É de grande notoriedade os benefícios que estas soluções da Cellebrite trazem na solução de crimes, seja em governos ou do setor privado. Mas nem tudo são flores quando determinados governos/autoridades e empresas utilizam ferramentas para determinados fins, se é que me entendem.

Autoridades usam spyware e ferramenta de extração forense da Cellebrite para hackear jornalistas e ativistas

Em um relatório publicado do site da Anistia Internacional, em dezembro de 2024, intitulado “Serbia: “A Digital Prison”: Surveillance and the suppression of civil society in Serbia”, relata como produtos forenses de telefonia móvel desenvolvidos pela empresa israelense Cellebrite seriam usados para extrair dados de dispositivos móveis pertencentes a jornalistas e ativistas.

O relatório também revela como a polícia sérvia e a Agência de Segurança e Informação (Bezbedonosno-informativna Agencija – BIA) do país utilizou um spyware personalizado para o Android, o NoviSpy, para infectar secretamente dispositivos de indivíduos durante períodos de detenção ou em abordagens policiais.

Como a Cellebrite e o NoviSpy foram usados para comprometer estes dispositivos?

O NoviSpy pode capturar dados confidenciais de um telefone e fornecer recursos, como ligar o microfone ou a câmera de um telefone remotamente enquanto as ferramentas forenses da Cellebrite foram usadas para desbloquear o telefone antes da infecção por spyware e também permitir a extração de dados do dispositivo.

Em pelo menos dois casos, a Anistia Internacional teria descoberto evidências de que exploits (software que tira vantagem de uma vulnerabilidade do dispositivo alvo) da Cellebrite UFED teriam sido usados para contornar mecanismos de segurança de dispositivos Android, permitindo que as autoridades instalassem secretamente o NoviSpy durante abordagens policiais, por exemplo.

Em fevereiro de 2024, o jornalista investigativo sérvio Slaviša Milanov foi preso e detido pela polícia sob o pretexto de realizarem um teste de bafômetro. Enquanto estava detido, Slaviša foi interrogado por policiais à paisana onde questionavam sobre seu trabalho jornalístico. Seu telefone Android estava desligado quando o havia entregue à polícia e nenhum momento ele foi questionado e nem precisou fornecer uma senha. Após sua liberação, Slaviša percebeu que seu telefone parecia ter sido adulterado e os dados de seu telefone coletados.

Ele solicitou que o Laboratório de Segurança da Anistia Internacional conduzisse um análise forense em seu telefone - um Xiaomi Redmi Note 10S. A perícia revelou que a solução UFED da Cellebrite havia sido usada para desbloquear secretamente o telefone de Slaviša durante sua detenção.

Um segundo caso no relatório, envolvendo um ativista ambiental, Nikola Ristić, encontrou evidências forenses semelhantes de produtos da Cellebrite usados para desbloquear um dispositivo para então permitir a infecção seguinte pelo NoviSpy.

Em fevereiro deste ano, o site da Anistia Internacional publicou uma matéria comentando sobre a Cellebrite ter interrompido o uso de produtos na Sérvia após o relatório emitido pela Anistia em dezembro/2024.

Detalhes sobre o NoviSpy

O NoviSpy foi projetado para coletar vários tipos de informações de telefone comprometidos, incluindo capturas de tela de todas as ações no dispositivos, geolocalização dos alvos, gravações de áudio e microfone, arquivos e fotos. Ele é instalado por meio do Android Debug Bridge (adb) e é composto por dois aplicativos:

• NoviSpayAdmin (com.serv.services): solicita permissões extensas para coletar registros de chamadas, mensagens SMS, listas de contatos e para gravar áudio pelo microfone

• NoviSpyAccess (com.accesibilityservice): tira proveito dos serviços de acessibilidade do Android para coletar furtivamente prints de tela, contas de e-mail e aplicativos de mensagens como o Signal e WhatsApp, exfiltrar arquivos, rastrear a localização e ativar a câmera

Ferramenta forense da Cellebrite poderia conter falhas de segurança que permitiriam a execução arbitrária de comandos na própria ferramenta?

Moxie Marlinspike, criador do popular aplicativo de mensagens criptografadas Signal, anunciou em um post de abril de 2021, no site Security Affairs, que as ferramentas forenses da Cellebrite são afetadas por diversas vulnerabilidades que podem ser exploradas para se conseguir execução arbitrária de código no alvo.

Em dezembro de 2020, a Cellebrite anunciou em sua página que a ferramenta Physical Analyzer seria capaz de descriptografar mensagens e dados do aplicativo de mensagens Signal.

Moxie destacou que “os dados que o software da Cellebrite precisa extrair e exibir são, em última análise, gerados e controlados pelos aplicativos no dispositivo, não por uma fonte “confiável”, então a Cellebrite não pode fazer nenhuma suposição sobre a confiabilidade dos dados que está recebendo. Este é o espaço em que virtualmente todas as vulnerabilidades de segurança podem surgir”, diz a postagem publicada pelo criador do Signal. “Como quase todo código da Cellebrite existe para analisar entradas não confiáveis que podem ser formatadas de forma inesperada para explorar corrupção de memória ou outras vulnerabilidades no software de análise, pode-se esperar que a criadora da ferramenta tenha sido extremamente cautelosa. Olhando para o UFED e o Physical Analyzer, no entanto, ficamos surpresos ao descobrir que muito pouco cuidado parece ser sido dado à segurança do próprio software. Faltam defesas de mitigação de exploração padrão da indústria e muitas oportunidades de exploração estão presentes”.

O especialista ainda explicou que a falha poderia ser explorada de várias maneiras, bastando incluir um arquivo especialmente formatado, mas inócuo, em qualquer aplicativo de um dispositivo que, quando analisado pelo software da Cellebrite, poderia acionar a exploração.

Ele detalha: “ao incluir este arquivo especialmente criado dentro de um dispositivo que será analisado pela Cellebrite, é possível executar um código que modifica não apenas o relatório da ferramenta criado naquela varredura, mas também em todos os relatórios gerados anteriormente e no futuro, não somente neste, mas em todos os dispositivos. A execução arbitrária de comando inclui inserir ou remover textos, e-mails, fotos, contatos, arquivos ou quaisquer outros dados, sem alterações detectáveis de registro de data e hora ou de verificações de checksum”.

O pesquisador compartilhou um video de uma POC do ataque que demonstra como acionar o problema ao analisar arquivos armazenados no dispositivo. O payload usado pelo especialista utiliza a API do MessageBox para Windows para entregar uma mensagem ao usuário (pra quem é fã do filme Hackers, de 1995, vai curtir a montagem):

Moxie também notou que o instalador do Packet Analyzer inclui pacotes MSI assinados digitalmente pela Apple e aparentemente extraídos do instalador do iTunes para Windows 12.9.0.167. Ambos os pacotes importam DLLs para permitir que ferramentas forenses extraiam dados de dispositivos iOS.

“Parece improvável para nós que a Apple tenha concedido à Cellebrite uma licença para redistribuir e incorporar DLLs da Apple em seu próprio produto, o que poderia representar um risco legal para a Cellebrite e seus usuários”, conclui o especialista.

O que podemos dizer?

A forma de atuação de ferramentas como as da Cellebrite, no que diz respeito ao hacking executado em dispositivos alvo, não seria novidade e nem nada milagroso. Em muitos casos, até facilitado pelas fabricantes de dispositivos móveis, se é que me entende.

Estas ferramentas exploram vulnerabilidades e conseguem acesso ao dispositivo. “Simples” assim. No caso do Cellebrite UFED e Forensic Workstation, que utilizam um hardware dedicado, o sucesso pode ser obtido em menos tempo devido ao poder de processamento do hardware. Junte isso à gama de exploits utilizados, e Voilá: informações podem ser descobertas em pouco tempo.

Estas ferramentas quando usadas em governos que possuem uma certa veia ditatorial ou de perseguir opositores, ou ainda, o de simplesmente invadir a privacidade de cidadãos honestos, acaba sendo um grande filão para a criadora do Cellebrite. É basicamente um contrato bastante “vantajoso” $$.

O lobby dentro de um governo para que x ferramenta seja utilizada é grande e os envolvidos podem se dar bem. Veja esta matéria no The Intercept (confira a versão traduzida pelo Google Translator), de fevereiro de 2022, onde é relatado o uso em massa desta ferramenta no governo americano.

No que diz respeito à veracidade das informações encontradas, pensando que elas podem ser manipuladas previamente, até que ponto uma investigação não seria comprometida? Teria validade judicial?

Como falei no disclaimer, não estou aqui pra defender ninguém, o foco aqui foi, é, e sempre será, o de analisar criticamente e parcialmente as possíveis situações sobre o tema e fazer questionamentos pertinentes.

Para saber mais sobre possíveis relações entre a ferramenta, spyware e vulnerabilidades, realize a consulta no Google abaixo:

https://www.google.com/search?q=%22cellebrite%22+%2B+%22spyware%22+%2B+%22vulnerability%22

O que achou do post?

Créditos:

https://securityaffairs.com/117116/mobile-2/cellebrite-forensics-tool-flaw.html

https://boletimsec.com.br/spyware-novispy-abusa-de-ferramentas-forenses-para-roubar-dados-sensiveis/

https://www.amnesty.org/en/latest/news/2024/12/serbia-authorities-using-spyware-and-cellebrite-forensic-extraction-tools-to-hack-journalists-and-activists/

https://thehackernews.com/2024/12/novispy-spyware-installed-on.html

https://www.business-humanrights.org/en/latest-news/cellebrite-products-allegedly-used-to-spy-on-asylum-seekers-in-morocco/

https://www.theguardian.com/world/2023/apr/06/labor-under-pressure-to-ban-use-of-israeli-spyware-in-investigations-of-alleged-welfare

https://theintercept.com/2022/02/08/cellebrite-phone-hacking-government-agencies/

“A grande vitória é aquela que não exige batalha” – Sun Tzu.

Essas palavras milenares do antigo estrategista militar chinês Sun Tzu, a que o livro ‘A Arte da Guerra’ lhe é atribuído, são muito importantes nos dias atuais, ainda mais quando trazemos para o cenário da cibersegurança.

Seguindo a idéia de Sun Tzu, a melhor defesa é evitar um ataque. Tendo uma arquitetura e abordagem corretas, é possível proteger seu ambiente contra essa corrida armamentista da cibersegurança, para que, quando o invasor atacar, você simplesmente não esteja lá.

Pratique a prevenção de ataques

Impedir ataques é um dos três aspectos críticos da segurança corporativa, junto com a prevenção, que garante que as redes e sistemas sejam protegidos contra ataques, e a detecção, que identifica anomalias e fornece um meio para responder aos ataques.

A prevenção que estamos falando é frequentemente neglicenciada ou incluída numa conversa mais generalista de zero-trust (confiança zero), mas abordá-la no primeiro estágio do gerenciamento de risco traz imensos benefícios.

A melhor maneira de impedir um ataque é garantir que ele nunca aconteça. Na época de Sun Tzu, isso significava priorizar as informações para obter vantagem tanto estratégica quanto tática. Na defesa cibernética moderna, isso se traduz no aproveitamento de todo o poder dos dados, automação e das políticas.

A maneira mais simples de evitar um ataque é minimizar a superfície de ataque. Para fazer isso, você precisa:

• Eliminar sua superfície de ataque externa migrando para o acesso zero-trust fornecido pela nuvem com um modelo de acesso apenas de saída;

• Reduzir a superfície de ataque interna aproveitando a segmentação de usuário para um aplicativo de zero trust para os programas privados;

• Minimizar a superfície de ataque de endpoint individual protegendo o tráfego de Internet do usuário final;

• Reduzir a superfície de ataque de dados com controles de SaaS (Software-as-a-Service ou Software como Serviço), como uma solução de CASB (Cloud Access Security Broker), prevenção de perda de dados (DLP), dentre outras soluções.

A grande vantagem do zero-trust é que cada dispositivo, aplicativo e usuário é distinto(a). Encontrar o caminho para um dispositivo não permite que você veja todo o ambiente, porque nada confia em nada. Se pudermos tornar essas superfícies de ataque furtivas individuais, poderemos aumentar ainda mais nosso jogo de segurança.

Você não pode atacar o que não pode ver

Os gateways de VPN tradicionais precisam que uma porta de entrada (um serviço que está esperando por conexões em determinada porta TCP) esteja aberta e que pode ser descoberta por qualquer pessoa na Internet. Conectar um endpoint a uma rede expõe toda ela (e os endpoints que se conectam a ela) a danos potenciais de ransomware ou de ameaças internas.

A remoção desta porta de entrada elimina o ponto de apoio para o invasor e a conexão de usuários aos sistemas protege a própria rede, bem como os dispositivos dos quais os usuários estão se conectando. Uma solução de “port-knocking” pode ser uma das alternativas.

O antigo método de proteção “castle-and-moat” não é mais um modelo de segurança viável. Este modelo fala de paredes e barreiras, mas uma vez que alguém entrou, as pessoas não tinham nenhum controle dentro do castelo. No modelo zero-trust, ninguém sabe onde está a sua infraestrutura, mesmo quando você acompanha visitantes/funcionários até a sua infra, eles apenas têm acesso à partes da sua infraestrutura que você mostrar. O restante da sua infraestrutura estará completamente oculta.

Do desenvolvimento à avaliação de risco, reduzir a superfície de ataque com modernas tecnologias ajudará a sua empresa a se proteger melhor e permitirá que você remova partes da sua infraestrutura desta corrida armamentista de cibersegurança.

Como Sun Tzu também disse: “Vencer cem vitórias em cem batalhas não é o auge da habilidade. Vencer o inimigo sem lutar é o auge da habilidade”.

A cibersegurança é boa para os negócios

A segurança é frequentemente ligada a coisas negativas, como violações de dados, multas regulatórias e interrupção dos negócios. No entanto, as vantagens raramente são destacadas. Confira algumas:

• Reter clientes mostra engajamento. Criar uma cultura que prioriza a segurança e privacidade dos dados mostra um alto nível de responsabilidade social corporativa. As empresas descuidadas com dados pessoais e que sofrem uma invasão geralmente estão sujeitas a reações negativas por parte dos consumidores e parceiros de negócios. Por outro lado, tomar a iniciativa de evitar ataques melhora a reputação de uma empresa.

• A conformidade leva a oportunidades de negócios. A maioria das empresas depende de uma rede de parceiros de negócios. À medida que as colaborações se estendem para a nuvem e redes híbridas, demonstrar conformidade com a segurança torna-se um requisito para fazer negócios. Com o crescente número de ataques, as empresas estão analisando com atenção as práticas de segurança de potenciais parceiros como um pré-requisito para fazer negócios.

• A inovação supera a inatividade. As empresas priorizam a inovação que impulsiona o crescimento. Políticas ágeis de cibersegurança podem permitir que as empresas continuem seu trabalho sem interrupção, aumentando a receita e os lucros. No entanto, em um estudo conduzido pela Cisco, 71% dos executivos disseram que as preocupações com a segurança cibernética impedem a inovação em suas empresas. Entre os entrevistados, 39% disseram ter interrompido as iniciativas de missão crítica devido a problemas de segurança cibernética. Essas respostas destacam como as vulnerabilidades de segurança podem prejudicar a capacidade de uma organização de inovar.

Com uma simples mudança de perspectiva, os líderes de negócios podem abordar a segurança no sentido do que ela significa para as oportunidades de negócios, permitindo assim uma discussão com mais fundamento do que baseada no medo quando chega a hora de definir estratégias de segurança corporativa.

Referências:

https://www.darkreading.com/attacks-breaches/how-sun-tzu-s-wisdom-can-rewrite-the-rules-of-cybersecurity

https://pt.wikipedia.org/wiki/A_Arte_da_Guerra

Chamada de GrassCall, uma campanha de ataque cibernético recente, através de entrevistas fake, tem como alvo pessoas que estão a procura de emprego nos setores de criptomoedas e Web3.

Atribuído ao grupo cibercriminoso russo “Crazy Evil”, a campanha utiliza anúncios de vagas fraudulentos em plataformas como LinkedIn, WWellFound e CryptoJobsList para atrair vítimas para baixar software malicioso disfarçado de aplicativo de videoconferência.

O malware foi criado para roubar informações confidenciais, como credenciais de login, carteiras de criptomoeadas e cookies de autenticação de dispositivos Windows e macOS.

Como funciona o ataque?

Os fraudadores criam empresas falsas, como "ChainSeeker.io", contendo informações completas com aquela aparência profissional e ainda perfis em redes sociais.

Eles anunciam oportunidades de empregos atraentes para cargos como “Analista de Blockchain” ou “Gerente de Mídia Social”. Depois que a vítima se candidata, é contactada por um falso Diretor de Marketing (CMO) via Telegram.

O CMO instrui a vítima para baixar um aplicativo chamado GrassCall de um site falso sob o pretexto de conduzir uma entrevista online.

Após a instalação, o GrassCall implanta um malware adaptado ao sistema operacional da vítima.

Para usuários do Windows, ele instala infostealers, como o Rhadamanthys ou Trojans de Acesso Remoto (RATs), enquanto que usuários do macOS recebem o AMOS Stealer.

Estes payloads extraem credenciais armazenadas, dados de carteira de criptomoedas e outras informações de credenciais.

Os dados roubados geralmente são enviados para canais do Telegram, onde são monetizados.

Ameaças e implicações em evolução

Relatórios recentes indicam que o grupo Crazy Evil mudou para uma nova interação desta campanha, agora chamada de VibeCall, que emprega táticas semelhantes, mas com cepas de malware atualizadas.

O foco do grupo em usuários de criptomoedas destaca a sofisticação crescente do crime cibernético com motivação financeira.

Centenas de pessoas foram vítimas desta campanha, com muitos relatando perdas financeiras significativas ao terem suas carteiras de criptomoedas drenadas.

Ofereça uma assinatura de presente

Especialistas em segurança cibernética enfatizam a importância do cuidado ao se candidatar a empregos em setores de alto risco.

Os usuários são aconselhados a:

• Evitar baixar aplicativos de fontes não verificadas.

• Verificar ofertas de emprego e detalhes da empresa antes de se candidatar

• Usar ferramentas robustas de proteção de endpoint que podem detectar e bloquear infostealers

À medida que cibercriminosos continuam a explorar tecnologias e setores emergentes, as pessoas que estão à procura de emprego devem permanecer cautelosas e adotar práticas fortes de segurança cibernética para proteger suas informações pessoais e profissionais.

Créditos:

https://gbhackers.com/grasscall-malware-targets-job-seekers/

O Google publicou em 3 de fevereiro deste ano, o seu Boletim de Segurança do Android de fevereiro, que aborda um total de 47 vulnerabilidades que afetam dispositivos rodando o Android.

Uma das vulnerabilidades críticas afeta um driver chamado USB Video Class (UVC) do kernetl Linux e foi catalogada no CVE-2024-53104 com um risco de segurança significativo. O UVC trata-se de um padrão que possibilita a transmissão de vídeo por meio da interface USB.

Esta vulnerabilidade permite que invasores executem código remoto (RCE), podendo conseguir acesso não autorizado de leitura/gravação no sistema afetado.

Visão geral técnica da vulnerabilidade

A vulnerabilidade em questão ocorre pela análise inadequada de quadros marcados como UVC_VS_UNDEFINED dentro da função uvc_parse_format do driver UVC. Isso pode levar a erros de cálculos dos tamanhos dos buffers, resultando em gravações de memória fora dos limites.

Invasores podem explorar essa falha inserindo dispositivos USB maliciosos ou manipulando fluxos de vídeo, gerando estouros de buffer que substituem regiões subjacentes da memória. Com isso, podem realizar escaladas de privilégios locais sem que o sistema exija privilégios de execução adicionais.

Mesmo que a vulnerabilidade não possa ser explorada diretamente de forma remota, como mencionado, invasores podem tirar proveito falsificando dispositivos USB, o que torna a vulnerabilidade uma ameaça considerável à integridade e estabilidade do sistema.

Versões do Kernel Afetadas

A vulnerabilidade afeta todas as versões do kernel do Linux, desde a 2.6.26 até as últimas versões corrigidas.

Para mitigar esse risco, os usuários são orientados a atualizar seus dispositivos para o níveis de patch com as datas 2025-02-01 ou 2025-02-05, que incluem correções para essas e outras vulnerabilidades em vários componentes do Android.

Além do CVE-2024-53104, o Google também corrigiu uma vulnerabilidade (CVE-2025-0088) relacionada ao escalonamento de privilégios no nível do kernel que afeta o mremap , uma função crítica de gerenciamento de memória.

Além disso, outras vulnerabilidades de alta gravidade (CVE-2025-0091, CVE-2025-0095, CVE-2025-0096) que afetam o Android da versão 12 a 15 também podem permitir que invasores executem código arbitrário com privilégios aumentados.

Em se tratando de algo crítico (CVE-2024-53104) e o seu potencial de exploração, é importante que os usuários do Android instalem as atualizações de segurança mais recentes o quanto antes.

Como atualizar meu Android?

Para atualizar as atualizações em seu dispositivo, siga as etapas seguintes (a descrição das opções e telas podem ser diferentes, dependendo da versão utilizada do Android):

• Acessar Configurações

• Tocar na opção Atualização de Software

• Em seguida na opção Baixar e Instalar

O que achou do post? Fale nos comentários!

Créditos:

https://gbhackers.com/android-security-update-fixes-linux-kernel-rce-flaw/

https://cyberinsider.com/google-fixes-zero-day-flaw-exploited-in-targeted-android-attacks/

https://source.android.com/docs/security/bulletin/2025-02-01?hl=pt-br

A empresa Wiz Research descobriu um banco de dados ClickHouse público pertencente à DeepSeek, em que estão expostos históricos de bate-papo, secret keys e detalhes de backend. Após a divulgação (ética), a DeepSeek prontamente corrigiu o problema.

“Em minutos, encontramos um banco de dados ClickHouse acessível publicamente vinculado ao DeepSeek, completamente aberto e não autenticado, expondo dados sensíveis. Ele estava hospedado em oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000”, diz o relatório publicado pela Wiz.

“Este banco de dados continha um volume significativo de histórico de bate-papo, dados de backend e informações confidenciais, incluindo informações de log, APIs secrets e detalhes operacionais”.

Os pesquisadores observaram que o vazamento poderia ter permitido que invasores assumissem o controle total do banco de dados e potencialmente aumentassem os privilégios dentro do ambiente da DeepSeek, sem qualquer autenticação.

Os especialistas usaram a interface HTTP do ClickHouse e acessaram a url /play para executar consultas SQL arbitrárias por meio do navegador.

Ao executar uma consulta SHOW TABLES, os pesquisadores obtiveram uma lista completa de conjuntos de dados, incluindo a tabela log_stream com mais de um milhão de entradas de log contendo dados altamente sensíveis. A tabela incluía as seguintes colunas:

• timestamp – Registros de 6 de janeiro de 2025

• span_name – Referências a vários endpoints internos da API DeepSeek

• string.values ​​– Logs de texto simples , incluindo histórico de bate-papo , chaves de API, detalhes de backend e metadados operacionais

• _service – Indicando qual serviço DeepSeek gerou os logs

• _source – Expondo a origem das solicitações de log , contendo histórico de bate-papo, chaves de API, estruturas de diretório e logs de metadados do chatbot

Os pesquisadores explicaram que não executaram consultas intrusivas além da enumeração, para preservarem as práticas éticas de pesquisa.

“Esse nível de acesso representou um risco crítico para a própria segurança do DeepSeek e para seus usuários finais. Um invasor poderia não apenas recuperar logs sensíveis e mensagens de bate-papo em texto puro, mas também poderiam potencialmente exfiltrar senhas em texto puro e arquivos locais junto com informações de propriedade diretamente do servidor por meio de consultas como: SELECT *FROM (‘'filename’) dependendo da configuração do ClickHouse”, conclui o relatório”.

Créditos:

https://securityaffairs.com/173666/data-breach/deepseek-db-exposed-highly-sensitive-information.html

A empresa de cibersegurança, Silverfort, descobriu uma configuração incorreta que pode “bypassar” uma determinada política de grupo do Active Directory (AD) feita para desabilitar o NTLMv1, permitindo assim que autenticações por este protocolo inseguro continuem funcionando.

Qual é o problema com o NTLMv1?

Ele é um protocolo de autenticação desatualizado com vulnerabilidades de segurança conhecidas, tornando-o um alvo principal para invasores. A vulnerabilidade, descoberta pelo pesquisador sênior de segurança Dor Segal, alertou que mesmo que as empresas implementem a política para desativar o NTLMv1 estarão expostas a autenticações por meio deste protocolo.

Certas configurações locais podem ignorar esta restrição feita na política de grupo ao solicitar especificamente a autenticação NTLMv1. Invasores podem então explorar esta vulnerabilidade para interceptar o tráfego, quebrar credenciais de usuários e obter acesso não autorizado ao sistema. Além disso, ao explorar as vulnerabilidades do protocolo em questão, poderão se mover lateralmente ou aumentar seus privilégios, expondo as empresas a riscos significativos.

“É importante observar que clientes (estações de trabalho) Windows com a configuração LMCompatibilityLevel 3 e posterior ativada não gerarão o tráfego NTLMv1 se solicitado. No entanto, clientes não Windows não são protegidos. Se um sistema solicitar uma mensagem NTLMv1 de um cliente não Windows, o Controlador de Domínio poderá aprovar a autenticação e gerar uma chave de sessão”, observaram os pesquisadores em um post.

Olhando na imagem acima, temos alguns pontos interessantes:

• Em ambientes que usam o AD, 64% das contas de usuário regularmente se autenticam via NTLM

• 48% das contas se autenticam tanto em NTLM e Kerberos

• 36% das contas realizam mais de 80% de autenticação via Kerberos

Mesmo com a Microsoft reconhecendo o problema e ter anunciado (em 2023…) planos para remover completamente o suporte ao NTLMv1 em versões futuras do Windows, as empresas ainda precisam tomar medidas proativas para mitigar o risco. Estas medidas incluem habilitar logs de auditoria para autenticação NTLM, identificar sistemas/aplicativos que utilizem o NTLMv1 e implementar métodos de autenticação modernos, via SSO ou Kerberos, a fim de substituir o NTLMv1.

Não é de hoje que esta versão do NTLM é comentada no meio da segurança da informação. O Mimikatz come solto!

Créditos:

https://hackread.com/researchers-ntlmv1-bypass-active-directory-policy/

https://www.silverfort.com/blog/ntlmv1-bypass-in-active-directory-technical-deep-dive/

Uma pesquisa recente revelou uma vulnerabilidade no fluxo da famosa autenticação “Fazer login o Google” do Google, que pode explorar uma peculiaridade na propriedade de um domínio para assim se obter acesso a dados confidenciais.

O login OAuth do Google não protege adequadamente para os casos em que alguém com má fé compra um domínio de uma startup que já “fechou as portas” e o utiliza para recriar contas de e-mail para ex-funcionários”, disse o cofundador e CEO da Truflle Security, Dylan Ayrey, em um relatório publicado na segunda-feira (13/01/25).

Mesmo que você não possa acessar dados de e-mails antigos, poderá utilizar essas contas para fazer login em vários produtos SaaS que a organização usou.

Essas contas incluíam acessos sensíveis em sistemas de RH que continham documentos fiscais, recibos de pagamento, informações de seguro, números de previdência social e muito mais, disse Ayrey.

O que é o OAuth?

OAuth, abreviação para Open Authentication (Autenticação Aberta). refere-se a um padrão aberto para delegação de acesso, permitindo que usuários concedam a sites ou aplicativos acessos às suas informações em outros sites sem ter que fornecer suas senhas. Isso é feito por meio de um token de acesso que verifica a identidade do usuário e permite que o serviço acesse o recurso ao qual o token se destina.

Quando o recurso “Fazer login com o Google” é usado para o login em um aplicativo como Slack, o Google envia ao serviço um conjunto de declarações sobre o usuário, incluindo seu endereço de e-mail e o domínio hospedado (o domínio em que usuário está realizando login pelo Google), que podem ser utilizadas (as declarações) para fazer login dos usuários em suas contas.

O problema

Continuando, isso também significa que, se um serviço depende exclusivamente dessas informações para autenticar usuários, também acabará abrindo uma porta para um cenário em que mudanças na propriedade de domínios podem permitir que um invasor recupere o acesso a contas antigas de funcionários.

O CEO da Truffle também destacou que o token referente ao OAuth ID do Google inclui um identificador exclusivo de usuário – a reivindicação sub – que na teoria poderia evitar o problema, mas que não foi considerado confiável. Vale comentar que o Entra ID da Microsoft inclui as reivindicações sub ou oid para armazenar um valor imutável por usuário.

Atualmente não existem muitas medidas de proteção que os provedores de software podem tomar contra esta vulnerabilidade de implementação do OAuth do Google.

Como indivíduo, após você ser desligado de uma empresa, acaba perdendo a capacidade de proteger seus dados nessas contas e ficará sujeito ao que ocorrer com o futuro desta empresa. Sem IDs imutáveis, as alterações de propriedade de domínios continuarão a comprometer as contas, disse Ayrey.

Créditos:

https://thehackernews.com/2025/01/google-oauth-vulnerability-exposes.html

Parece que um hacker brasileiro foi indiciado nos EUA por ter supostamente ameaçado divulgar dados roubados após uma invasão feita à rede de uma empresa em março de 2020.

Junior Barros de Oliveira, de 29 anos, de Curitiba, foi indiciado em 4 acusações de extorsão envolvendo informações obtidas de computadores protegidos e outras 4 por mensagens ameaçadoras, disse o Departamento de Justiça dos EUA (DoJ) em um indiciamento aberto no início desta semana.

A vítima, uma subsidiária brasileira sediada em Nova Jersey, teve seus computadores invadidos pelo réu, que então explorou o acesso obtido para possivelmente roubar informações confidenciais de cerca de 300 mil clientes em pelo menos 3 ocasiões.

Junior Barros teria então posteriormente enviado ao CEO da empresa uma mensagem de e-mail em setembro de 2020 utilizando um pseudônimo, onde teria exigido o pagamento de 300 bitcoins (cerca de 3,2 milhões de dólares na época) em troca de não vender os dados.

Um mês depois, o réu enviou a mensagem citada acima tanto para o CEO quanto para um executivo da subsidiária brasileira.

Em uma das mensagens enviadas a um executivo da empresa, Junior Barros disse que estava muito interessado em ajudá-los a resolver esta falha de segurança, mas disse que isso custaria uma taxa de consultoria de cerca de 75 bitcoins (800 mil dólares na época). O réu também forneceu instruções sobre como a vítima poderia efetuar o pagamento para uma carteira de bitcoin.

Cada uma das 4 ameaças de extorsão acarreta uma pena máxima de 5 anos de prisão e uma multa de 250 mil dólares ou o dobro do valor de qualquer ganho ou perda, o que for maior.

Da mesma forma, cada uma das 4 acusações por “apenas” enviar mensagens ameaçadoras, acarreta uma pena máxima de 2 anos de prisão e uma multa máxima de 250 mil dólares ou o dobro do valor de qualquer ganho ou perda, o que for maior.

Realmente o crime não compensa. O ser humano é falho. Deixa rastros. Mais cedo ou mais tarde será pego. Então não se anime em achar que é legal invadir ou derrubar sistemas. Por mais que seus objetivos sejam “legais”, as empresas não verão isso com bons olhos.

Quer “invadir” o sistema de uma empresa dentro de um contexto autorizado e ainda ganhar por isso? Faça parte de sistemas de Bug Bounty ofertado por várias empresas. A Hacker One oferece uma lista bem completa destes programas. Já no Brasil temos a Hackaflag e a Bug Hunt, empresas estas que possuem uma plataforma de Bug Bounty utilizada por diversos clientes. Veja este post do Anchises que mostra quais programas estão em curso nas empresas (post de 2022).

Créditos:

https://thehackernews.com/2024/12/brazilian-hacker-charged-for-extorting.html

https://www.justice.gov/usao-nj/pr/brazilian-man-charged-making-extortionate-threats-publicize-stolen-data-obtained