2026-04-30 00:00
← VoltarA internet está barulhenta esta semana. Estamos vendo algumas novas táticas malucas, como pessoas usando torres de celular falsas para enviar textos fraudulentos, enquanto alguns desenvolvedores baixam acidentalmente ferramentas que espiam seus arquivos privados durante uma simples instalação. É definitivamente um momento agitado para estar online. A segurança é sempre um alvo móvel. Milhões de servidores estão atualmente online sem nenhuma senha, e bugs de software antigos estão aparecendo nos lugares mais inesperados. Mesmo com as soluções certas disponíveis, estar um passo à frente é uma tarefa de tempo integral para todos nós. Os dados também estão mudando de maneiras estranhas. Algumas ferramentas de navegador agora vendem legalmente o histórico do usuário com fins lucrativos, e novos kits estão tornando mais simples para quase qualquer pessoa lançar uma campanha.
Você precisa ver essas atualizações mais recentes para acreditar nelas. Vejamos a lista completa... As autoridades canadenses prenderam três homens por operar um dispositivo SMS blaster que se disfarça como uma torre de celular para enviar mensagens de phishing para telefones próximos. Essas ferramentas enganam os dispositivos para que se conectem a eles, emitindo sinais que imitam uma torre legítima. “Um blaster de SMS funciona imitando uma torre de celular legítima. Quando telefones próximos se conectam a ele, os usuários recebem mensagens de texto fraudulentas que parecem vir de organizações confiáveis”,...
A internet está barulhenta esta semana. Estamos vendo algumas novas táticas malucas, como pessoas usando torres de celular falsas para enviar textos fraudulentos, enquanto alguns desenvolvedores baixam acidentalmente ferramentas que espiam seus arquivos privados durante uma simples instalação. É definitivamente um momento agitado para estar online. A segurança é sempre um alvo móvel. Milhões de servidores estão atualmente online sem nenhuma senha, e bugs de software antigos estão aparecendo nos lugares mais inesperados. Mesmo com as soluções certas disponíveis, estar um passo à frente é uma tarefa de tempo integral para todos nós. Os dados também estão mudando de maneiras estranhas. Algumas ferramentas de navegador agora vendem legalmente o histórico do usuário com fins lucrativos, e novos kits estão tornando mais simples para quase qualquer pessoa lançar uma campanha.
Você precisa ver essas atualizações mais recentes para acreditar nelas. Vejamos a lista completa... As autoridades canadenses prenderam três homens por operar um dispositivo SMS blaster que se disfarça como uma torre de celular para enviar mensagens de phishing para telefones próximos. Essas ferramentas enganam os dispositivos para que se conectem a eles, emitindo sinais que imitam uma torre legítima. “Um blaster de SMS funciona imitando uma torre de celular legítima. Quando telefones próximos se conectam a ele, os usuários recebem mensagens de texto fraudulentas que parecem vir de organizações confiáveis”, disseram as autoridades. “Essas mensagens muitas vezes levam os destinatários a clicar em links que levam a sites falsos projetados para capturar informações pessoais, incluindo credenciais bancárias e senhas”. Os três homens enfrentam 44 acusações relacionadas ao crime.
Cerca de dezenas de milhares de dispositivos foram conectados ao blaster durante vários meses, disse o funcionário. Esta é a primeira vez que um SMS blaster é avistado no país. Um novo ataque à cadeia de suprimentos aproveitou um pacote npm que se faz passar pelo TanStack para enviar versões maliciosas que exfiltram variáveis de ambiente das máquinas dos desenvolvedores durante a instalação. O pacote, chamado tanstack, foi projetado para “roubar silenciosamente arquivos variáveis de ambiente, incluindo .env, .env.local e .env.production, das máquinas dos desenvolvedores no momento da instalação, exfiltrando-os para um endpoint controlado pelo invasor”, disse Socket. O pacote malicioso é mantido por um usuário chamado “sh20raj”. As versões 2.0.4 a 2.0.7 são confirmadas como maliciosas.Atualização:Em uma postagem compartilhada no X, Shaswat Raj (@SH20RAJ), o desenvolvedor por trás do pacote, pediu desculpas por suas ações e afirmou que exigiu US$ 10.000 de Tanner Linsley, criador do TanStack, pois “achava que era aceitável pedir uma recompensa” por devolver o nome. O desenvolvedor também afirmou que o código malicioso fazia parte de um “teste aleatório” para desbloquear o Google Antigravity. Em uma nova análise, a LayerX descobriu que várias redes de extensões de navegador coletam dados do usuário e os revendem com fins lucrativos.
Ao contrário das extensões maliciosas que ocultam o seu comportamento oferecendo algumas funcionalidades inofensivas, as 80 extensões identificadas informam explicitamente os utilizadores na sua política de privacidade que recolhem e vendem dados dos utilizadores que instalam as suas extensões. “Uma rede de 24 extensões de mídia instaladas em 800.000 usuários e coleta dados de visualização e informações demográficas nas principais plataformas de streaming, como Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV e outras”, disse LayerX. "12 bloqueadores de anúncios separados com uma base instalada combinada de mais de 5,5 milhões de usuários vendendo abertamente dados de usuários. Quase 50 outras extensões, com mais de 100.000 usuários no total, que coletaram e revenderam dados de navegação dos usuários." A Huntress revelou que atores de ameaças desconhecidos usaram credenciais VPN roubadas para entrar em uma estação de trabalho Windows pertencente a uma organização não especificada por meio do smbexec.py da Ipacket e lançaram um backdoor em nível de SISTEMA usando o Komariagent, um controle remoto, monitoramento e ferramenta de gerenciamento baseada em Go. O desenvolvimento marca o primeiro caso documentado publicamente de abuso da ferramenta em uma intrusão no mundo real. Também ilustra como os malfeitores estão cada vez mais migrando para ferramentas legítimas e disponíveis publicamente para conduzir ataques. "Komari não é uma ferramenta de telemetria que pode ser abusada - é um canal de controle bidirecional por design. O agente abre um WebSocket persistente para seu servidor e aceita três tipos de eventos de servidor para agente prontos para uso: exec (execução de comando arbitrário via PowerShell / sh), terminal (shell reverso PTY interativo no navegador do operador) e ping (sondagem ICMP / TCP / HTTP), "Huntresssaid." execução arbitrária de comandos, um shell reverso PTY interativo e sondagem de rede por padrão, em um WebSocket baseado em TLS.
Os atores de ameaças detalharam dois novos kits de phishing chamados Saiga 2FA e Phoenix System que foram vinculados a e-mails e ataques de phishing por SMS. De acordo com Barracuda, o Saiga 2FA vai além dos recursos tradicionais de adversário no meio (AitM) integrando ferramentas como FM Scanner para extrair e analisar o conteúdo da caixa de correio. de como os kits de phishing estão evoluindo para plataformas de nível de aplicativo", disse a empresa. "Ao contrário dos kits de phishing tradicionais, o Saiga integra infraestrutura, automação e recursos pós-comprometimento em um sistema unificado, suportando campanhas avançadas e altamente direcionadas." agora extinto Mouse System. "As campanhas são entregues via SMS, potencialmente aproveitando estações base transceptoras (BTS) falsas para contornar a filtragem em nível de operadora e permitir que os agentes de ameaças enviem mensagens que aparecem sob as marcas de organizações confiáveis diretamente às vítimas", disse o Group-IB. "A campanha já atingiu mais de 70 organizações nos setores de serviços financeiros, telecomunicações e logística em todo o mundo." a internet. "A China é responsável por 22% do RDP exposto e 70% dos servidores VNC expostos; os EUA respondem por 20% e 7%; A Alemanha é responsável por 8% e 2%", disse a empresa. "De 91.000 servidores RDP e 29.000 servidores VNC mapeados para setores específicos, varejo, serviços e educação lideram a exposição RDP; educação, serviços e saúde lideram o VNC." Além disso, 18% dos servidores RDP expostos executam versões do Windows em fim de vida, mais de 19.000 servidores RDP permanecem vulneráveis ao BlueKeep (CVE-2019-0708) e quase 60.000 servidores VNC têm autenticação desabilitada.
Para piorar a situação, mais de 670 servidores VNC expostos têm autenticação desabilitada e fornecem acesso direto aos painéis de controle OT/ICS. Um link da China. campanha de influência online tentou minar as eleições de 26 de abril para o parlamento tibetano no exílio com pouco impacto A operação, parte da Spamouflage, uma rede de influência de longa data ligada a Pequim, usou um conjunto de 90 perfis no Facebook e 13 perfis no Instagram para empurrar críticas ao governo tibetano no exílio e sua liderança. governo, enfraquece a sua voz internacional e levanta dúvidas sobre se pode representar credivelmente os tibetanos sem o Dalai Lama. No entanto, praticamente nenhuma dessas postagens parece ter atraído qualquer envolvimento orgânico, possivelmente porque todos os ativos identificados são perfis regulares do Facebook com alcance limitado e páginas não estabelecidas." que corre s sob a identidade do serviço de rede, implantar um servidor RPC falso com o mesmo UUID de interface RPC e nome de endpoint exposto (ou seja, TermService), ouvir solicitações específicas e, em seguida, personificar o serviço de destino para escalar seus privilégios para SYSTEM. A Kaspersky, que identificou a vulnerabilidade, disse ter descoberto quatro caminhos de exploração do PhantomRPC que poderiam levar ao aumento de privilégios. Após a divulgação responsável em setembro de 2025, a Microsoft optou por não resolver o problema, pois exige que um invasor primeiro comprometa a máquina por outros meios. O ladrão de informações conhecido como Vidar (agora em sua segunda iteração chamado Vidar Stealer 2.0) saltou para o topo do mercado de infostealers desde novembro de 2025, após as derrubadas de Lumma e Rhadamanthys pelas autoridades.
“Vidar lucrou com o caos gerado para chegar ao topo do ecossistema dos ladrões”, disse Intrinsec. “Avaliamos que esse aumento foi disponibilizado devido ao lançamento da versão 2.0 do malware e à colaboração com canais ‘Cloud’ do Telegram.” É anunciado por um usuário chamado “Loadbaks” em fóruns clandestinos. Foram observadas campanhas recentes distribuindo malware que usou links falsos compartilhados por meio de vídeos do YouTube promovendo software falso para direcionar os usuários às páginas do Mediafire, que são usadas para entregar executáveis responsáveis por baixar e executar o coletor de credenciais de amplo espectro. As credenciais roubadas são rapidamente monetizadas em mercados clandestinos como o Russian Market. Trinta e oito vulnerabilidades críticas de segurança foram divulgadas no OpenEMR, a plataforma de registros médicos eletrônicos de código aberto mais utilizada no mundo. As vulnerabilidades, agora corrigidas, variam em gravidade de média a crítica e incluem verificações de autorização ausentes ou incorretas, scripts entre sites (XSS), injeção de SQL, passagem de caminho e expiração de sessão insuficiente. Estas questões, que incluem duas designadas como críticas (CVE-2026-24908 e CVE-2026-23627), poderiam ter sido exploradas para aceder e adulterar dados de pacientes e prestadores, representando um grave risco regulamentar e de saúde para indivíduos e instituições. “Nos casos mais graves, vulnerabilidades de injeção de SQL combinadas com privilégios modestos de banco de dados poderiam ter levado ao comprometimento total do banco de dados, exfiltração de PHI em escala e execução remota de código no servidor”, disse AISLE.
O OpenEMR é usado por mais de 100 mil prestadores de serviços médicos, atendendo mais de 200 milhões de pacientes em 34 idiomas. Uma operação policial coordenada na Suíça levou à prisão de 10 supostos membros da rede criminosa Black Axe, incluindo o “Chefe Regional” do Black Axe para a região do Sul da Europa. A maioria dos presos é de origem nigeriana. Os suspeitos são acusados de vários crimes, incluindo fraudes românticas, crimes de fraude cibernética que causaram danos de milhões de francos suíços e lavagem de dinheiro. “A rede criminosa é conhecida pelo seu envolvimento numa ampla gama de atividades criminosas, incluindo fraude cibernética, tráfico de drogas, tráfico de seres humanos e prostituição, sequestro, assalto à mão armada e práticas espirituais fraudulentas”, disse a Europol. Em mais um ataque à cadeia de suprimentos de software, agentes de ameaças desconhecidos lançaram uma versão maliciosa do popular pacote de “dados elementares” no Python Package Index (PyPI) para roubar dados confidenciais de desenvolvedores e carteiras de criptomoedas. De acordo com StepSecurity, a versão 0.23.3 de dados elementares foi carregada no PyPI em 24 de abril de 2026, às 22h20. UTC.
O invasor abriu uma solicitação pull com código malicioso e explorou uma vulnerabilidade de injeção de script em um de seus fluxos de trabalho do GitHub Actions para publicá-lo como versão 0.23.3. Especificamente, ele veio incorporado com um arquivo “elementary.pth” que permitiu o roubo de credenciais e segredos do desenvolvedor. “O invasor explorou uma vulnerabilidade de injeção de script em um dos fluxos de trabalho do GitHub Actions do próprio projeto e, em seguida, usou o GITHUB_TOKEN do fluxo de trabalho para forjar um commit de liberação assinado e despachar o legítimo publicando pipeline contra ele - sem nunca tocar no branch master ou abrir uma solicitação pull ", disse a empresa. Os desenvolvedores pediram aos usuários que instalaram o 0.23.3, ou puxaram e executaram sua imagem Docker, para assumir o compromisso e girar quaisquer credenciais. Evan Tangeman, de 22 anos, de Newport Beach, Califórnia, foi condenado a 70 meses de prisão por lavagem de fundos roubados em um enorme roubo de criptomoeda de US$ 230 milhões, parte de um elaborado esquema de engenharia social. "Este empreendimento criminoso foi construído com base na ganância, então descarado, beira o desenho animado. Eles roubaram milhões, gastaram em contas de boate de meio milhão de dólares, Lamborghinis e Rolexes”, disse a procuradora dos EUA, Jeanine Ferris Pirro. “Mas Evan Tangeman não lavou apenas o dinheiro que alimentou esse estilo de vida.
Quando seus co-conspiradores foram presos, ele agiu para destruir as evidências. Isso é consciência de culpa, e este escritório e o tribunal trataram isso de acordo." Tangeman se declarou culpado em dezembro de 2025. O empreendimento criminoso começou o mais tardar em outubro de 2023 e continuou até pelo menos maio de 2025. A Microsoft anunciou planos para começar a bloquear conexões TLS herdadas para clientes de e-mail POP e IMAP no Exchange Online a partir de julho de 2026. "Estamos planejando descontinuar totalmente o suporte para versões TLS herdadas (TLS 1.0 e TLS 1.1) para conexões POP3 e IMAP4 com o Exchange Online. Essas versões mais antigas do TLS foram obsoletas pelo setor há algum tempo e não são mais consideradas seguras”, disse a empresa. “Vários anos atrás, iniciamos o movimento para bloquear essas versões mais antigas, mas permitimos que você as usasse optando por participar; agora estamos removendo totalmente o suporte para eles. Nossa expectativa é que apenas os clientes que optaram explicitamente por usar esses endpoints legados sejam afetados pela descontinuação." Os atores da ameaça estão aproveitando o processo de criação de conta da plataforma de negociação on-line Robinhood para enviar e-mails de phishing que contornam os filtros de spam.
Os e-mails, que se originam de "noreply@robinhood[.]com", alertam sobre atividades suspeitas vinculadas a suas contas e os incentivam a clicar para concluir uma verificação de segurança clicando em um link que direciona para um site de phishing. "Essa tentativa de phishing foi possível graças a um abuso do fluxo de criação de conta”, disse Robinhood em uma postagem X. “Não foi uma violação de nossos sistemas ou contas de clientes, e as informações pessoais e os fundos não foram afetados. Se você recebeu este e-mail, exclua-o e não clique em nenhum link suspeito. Se você clicou em um link suspeito ou tiver alguma dúvida sobre sua conta, entre em contato conosco diretamente no aplicativo ou site Robinhood." Relatórios no Reddit indicam que os invasores criaram novas contas Robinhood usando versões modificadas de endereços existentes do Gmail por meio do chamado "truque de pontos". (FTC) alertou para um aumento maciço nas perdas decorrentes de fraudes nas redes sociais desde 2020, ultrapassando os 2,1 mil milhões de dólares em 2025, incluindo 794 milhões de dólares em fraudes que começaram no Facebook, mais do que em qualquer outra plataforma. Os golpes nas redes sociais produziram muito mais perdas – um aumento de oito vezes desde 2020 – do que qualquer outro método de contato usado pelos golpistas para alcançar os consumidores”, afirmou a FTC. “As mídias sociais criam acesso fácil a bilhões de pessoas de qualquer lugar do mundo, facilitando o trabalho dos golpistas a um custo muito baixo.
Os golpistas podem hackear a conta de um usuário, explorar o que um usuário publica para descobrir como direcioná-lo ou comprar anúncios e usar as mesmas ferramentas usadas por empresas reais para atingir pessoas por idade, interesses ou hábitos de compra. "KELAsaidit rastreou 2,86 bilhões de credenciais comprometidas em 2025 em todo o mundo. Isso incluiu o uso nomes, senhas, tokens de sessão, cookies encontrados em URLs, listas de login e senha (ULP), repositórios de e-mail violados e mercados de crimes cibernéticos. Pelo menos 347 milhões foram originalmente obtidos por infostealers encontrados em cerca de 3,9 milhões de máquinas infectadas. Uma análise de 2,7 milhões de envios ao serviço de pré-impressão arXiv – que também disponibiliza as fontes LaTeX e outros arquivos usados para criá-los – descobriu que eles incluem arquivos desnecessários, expõem metadados incorporados em arquivos (nomes de usuários, endereços de e-mail, detalhes de hardware, informações de GPS, versões de software) e vazam conteúdo irrelevante em arquivos, como comentários de código-fonte. Isso inclui backups, arquivos .nfs ocultos, repositórios Git (incluindo históricos de edição) e arquivos de configuração contendo chaves de API. "Além dos arquivos de modelo não utilizados que sobrecarregam desnecessariamente o armazenamento do arXiv, descobrimos ainda scripts, dados de pesquisa e até mesmo repositórios Git inteiros. Além disso, comentários em fontes LaTeX revelam, por exemplo, conversas do autor ou itens de tarefas - para alguns desses comentários, temos certeza de que os autores não pretendiam divulgá-los publicamente.
Alarmantemente, nossas descobertas também incluem URLs sem quaisquer restrições de acesso a outros recursos (por exemplo, Google Docs), tokens de segurança e chaves privadas, "o estudo disse. Embora o arXiv recomende o sarxiv_latex_cleaner do Google para limpar o código LaTeX, os pesquisadores lançaram uma ferramenta chamada ALC-NG para remover de forma abrangente arquivos, metadados e comentários que não são necessários para compilar um artigo LaTeX. A polícia ucraniana prendeu três indivíduos que hackearam mais de 610.000 contas de jogos Roblox e as venderam com um lucro de US$ 225.000 em sites russos. Os suspeitos podem pegar até 15 anos de prisão se forem condenados e foram colocados em prisão preventiva enquanto a investigação está em andamento. O esquema foi supostamente arquitetado por um residente de Drohobych, Lviv Oblast, de 19 anos, que conheceu seus cúmplices, de 21 e 22 anos, em fóruns de jogos no ano passado. De outubro de 2025 a janeiro de 2026, acredita-se que os suspeitos tenham acessado mais de 600.000 contas de usuários Roblox. O ator de ameaças ligado ao Irã, Handala Hack, teve como alvo as tropas dos EUA no Bahrein em uma campanha de influência realizada via WhatsApp, de acordo com Stars and Stripes. As mensagens, assinadas por Handala e contendo um link para o site do grupo, afirmavam que os militares estavam sob vigilância e que em breve seriam alvo de drones e mísseis.
“Suas identidades são totalmente conhecidas por nossas unidades de mísseis, e cada movimento que vocês fazem está sob nossa vigilância. Muito em breve, vocês serão alvo de nossos drones Shahed e mísseis Kheibar e Ghadeer”, dizia a mensagem enviada em 28 de abril de 2026. Os estados dos EUA emitiram US$ 3,45 bilhões em multas relacionadas à privacidade para empresas em 2025, um total maior do que os últimos cinco anos combinados, de acordo com o Gartner. “Os reguladores também estão desviando seus esforços da disseminação da conscientização para a aplicação em grande escala”, disse a empresa. “Isso está se tornando cada vez mais o padrão em 2026 e além.” Anchor Hosting revelou que um plugin WordPress chamadoQuick Page/Post Redirectplugin, que tem mais de 70.000 instalações, foi comprometido com um backdoor que permite a injeção de código arbitrário nos sites dos usuários. Descobriu-se que as versões 5.2.1 e 5.2.2 do plug-in, lançadas entre 2020 e 2021, incluem um mecanismo secreto de autoatualização que alcança um domínio de terceiros, anadnet[.]com, para facilitar a execução de código arbitrário. É importante notar que o backdoor passivo é acionado apenas para usuários desconectados para ocultar sua atividade dos administradores do site. Em 16 de abril, o plugin foi fechado temporariamente enquanto se aguarda uma revisão completa.
Os hackers estão explorando duas vulnerabilidades de desvio de autenticação no Qinglong, uma plataforma de gerenciamento de tarefas cronometradas de código aberto com mais de 19.500 estrelas do GitHub, para implantar mineradores de criptomoedas. As duas falhas –CVE-2026-3965 e CVE-2026-4047– permitem o desvio de autenticação que resulta na execução remota de código. "Embora essas vulnerabilidades tenham sido formalmente relatadas em fevereiro Em 27 de fevereiro, a exploração já estava em andamento há semanas”, disse Snyk. “A partir de 7 a 8 de fevereiro de 2026, os usuários do Qinglong começaram a abrir problemas sobre um processo oculto chamado .fullgc que consome 85-100% de sua CPU. O nome do arquivo .fullgc pode ter sido escolhido para combinar com processos legítimos. Em ambientes Java/JVM, 'Full GC' (Full Garbage Collection) é uma fonte conhecida de picos de CPU, o que pode atrasar a investigação de um administrador." Os problemas já foram abordados em#PR 2941. Em uma nova atualização compartilhada esta semana, a investigação de Checkmarxsaidits sobre o incidente de segurança cibernética revelou que o ataque TeamPCP que afeta o scanner Trivy é o "provável vetor que permitiu aos invasores obter credenciais e obter acesso não autorizado aos nossos repositórios GitHub". por sua vez, permitiu que os invasores interagissem com o ambiente GitHub da Checkmarx e publicassem código malicioso para certos artefatos.
O desenvolvimento ocorre quando a empresa reconheceu que os dados roubados do repositório GitHub foram publicados na dark web por um grupo de crimes cibernéticos conhecido como LAPSUS$. Agente WebSocket que: instala a chave RSA do invasor em ~/.ssh/authorized_keys no Linux; exfiltra sessões tdata do Telegram Desktop; drena credenciais de 27 carteiras criptografadas e navegadores da família Chromium; rouba .npmrc, tokens de provedor de nuvem e histórico de shell; e executa um keylogger nativo no Windows, macOS e Linux com persistência de inicialização automática em todos os três", disse SafeDeps. A segurança é um esporte de equipe. Continuamos vendo as mesmas lacunas porque nos concentramos nos novos brinquedos brilhantes, enquanto o básico, como senhas simples e versões antigas de software, cai no esquecimento. É claro que apenas ter um patch não é suficiente se ninguém realmente o instala. A melhor lição aqui é permanecer curioso e cauteloso. Seja um texto estranho de uma fonte "confiável" ou uma nova ferramenta que parece bom demais para ser verdade, reservar um segundo para verificar pode evitar muitos problemas mais tarde. Vamos continuar aprendendo e ficar atentos até a próxima atualização.
Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas em pontos de entrada – tudo de graça.