hu, 28 May 2026
← VoltarA nova técnica transforma pontos de apoio menores em comprometimento total da conta usando autenticação fraca. A infraestrutura exposta e as práticas de segurança deficientes amplificam o risco.
Cada vez que você pensa que a indústria finalmente parou de fazer alguma porcaria imprudente e de baixo esforço, alguém cria uma caixa nova cheia de carregadores incompletos, instaladores falsos, iscas de engenharia social recicladas e infraestrutura exposta o suficiente para fazer você se perguntar se o prod é apenas um beta público agora - enquanto isso, algum pesquisador abandona casualmente uma técnica que transforma uma posição "menor" em comprometimento total da conta, porque aparentemente seis dígitos e confiança cega eram tudo o que estava entre seu cofre e ser totalmente dominado. Legal. Ótimo. Ame isso por nós.
Depois, há a bagunça da cadeia de suprimentos... binários assinados, atualizações envenenadas, ferramentas legítimas sendo sequestradas como se ainda estivéssemos em 2017, além de alguns relatórios esta semana que parecem menos com comércio avançado e mais como assistir skiddies descobrindo frutas ao alcance da mão com a marca da empresa estampada no topo. A parte estranha não é que funciona. A parte estranha é como ainda é fácil.
De qualquer forma. Pegue cafeína. Vamos entrar no assunto. Hunt.io disse que identificou mais de 1.350 servidores de comando e controle (C2) em 98 provedores de infraestrutura do Oriente Médio nos últimos três meses, entre 1º de fevereiro e 1º de maio de 2026.
“A infraestrutura C2 domina atividades maliciosas (~96,8%), excedendo em muito a infraestrutura de phishing (~0,5%) e IOCs relatados publicamente (~0,5%), enquanto diretórios abertos maliciosos respondem pelos restantes ~2,2% dos artefatos observados”, disse. "A STC (Saudi Telecom Company) da Arábia Saudita hospeda 981 servidores C2, representando 72,4% de toda a infraestrutura C2 detectada na região. Botnets focadas em IoT (Hajime, Mozi e Mirai) combinadas com estruturas ofensivas (Tactical RMM, Cobalt Strike, Sliver) representam as famílias de malware dominantes que operam na infraestrutura do Oriente Médio." Diz-se que a Microsoft corrigiu silenciosamente uma falha de escalonamento de privilégios no Azure Backup for AKS que permitia que um usuário com apenas a função Azure "Colaborador de backup" (zero permissões do Kubernetes) ganhasse administrador de cluster em qualquer cluster AKS, de acordo com o pesquisador de segurança Justin O'Leary. A vulnerabilidade, que não possui CVE, possui uma pontuação CVSS de 9,9.
Embora a Microsoft tenha rejeitado o relatório de vulnerabilidade como "conteúdo gerado por IA", ele parece ter sido corrigido desde então, e foram aplicadas verificações de validação adicionais que não existiam em março de 2026. Um cidadão romeno de 46 anos considerado culpado de invadir um escritório do governo do estado de Oregon em 2021 e outros ataques cibernéticos nos EUA foi condenado a 56 meses de prisão. Catalin Dragomir se declarou culpado de uma acusação de roubo de identidade agravado e de uma acusação de obtenção de informações de um computador protegido em fevereiro. Dragomir foi preso na Roménia em Novembro de 2024 e extraditado para os EUA em Janeiro de 2025 para enfrentar acusações.
Dragomir “vendeu acesso a um computador na rede de um escritório do governo do estado de Oregon depois de obter acesso não autorizado a ele em junho de 2021”, disse o Departamento de Justiça. "Durante a venda, Dragomir forneceu ao possível comprador amostras de informações de identificação pessoal do computador. Ele também vendeu acesso às redes de computadores de inúmeras outras vítimas nos Estados Unidos, causando perdas de pelo menos US$ 250 mil." A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou o ataque à cadeia de suprimentos direcionado ao software DAEMON Tools ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções necessárias até 30 de maio de 2026. O incidente agora está sendo rastreado sob o identificador CVE-2026-8398 (pontuação CVSS v4: 9,3).
“Os invasores obtiveram acesso não autorizado à infraestrutura de construção ou distribuição do fornecedor (AVB Disc Soft) e trojanizaram três binários: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe”, de acordo com a descrição do CVE. “Esses arquivos foram assinados digitalmente com o certificado legítimo de assinatura de código AVB Disc Soft, permitindo que instaladores maliciosos parecessem confiáveis e ignorassem a detecção baseada em assinatura.” A Apple publicou seu pós-quan Implementações de criptografia tum (PQC) em corecrypto, incluindo algoritmos ML-KEM e ML-DSA com segurança quântica, juntamente com ferramentas de verificação matemática que foram criadas para garantir a conformidade com as especificações FIPS 203 e FIPS 204 para avaliação independente por especialistas. “Corecrypto é usado continuamente em nossos produtos, fornecendo criptografia e descriptografia, hashing, geração de números aleatórios e assinaturas digitais em mais de 2,5 bilhões de dispositivos ativos”, disse a Apple. “Um bug crítico no corecrypto tem o potencial de comprometer a segurança e a confiabilidade de cada aplicativo e recurso que depende dele, por isso somos conservadores ao adicionar novo código à biblioteca e fazemos esforços excepcionais para sermos abrangentes em nossos testes.” O Federal Bureau of Investigation (FBI) dos EUA alertou que o agente de ameaças conhecido como Silent Ransom Group (SRG), também conhecido como Luna Moth, Chatty Spider e UNC3753, tem como alvo escritórios de advocacia usando técnicas de engenharia social como parte de novos ataques desde a primavera de 2026.
Os escritórios de advocacia são um alvo rico devido à natureza altamente sensível dos dados que possuem. “Através de telefonemas e e-mails de phishing, os atores do SRG se apresentam como suporte de TI para estabelecer acesso aos computadores das vítimas e exfiltrar dados, geralmente por meio de ferramentas legítimas de acesso remoto ou enviando um indivíduo pessoalmente ao local da empresa vítima para obter acesso físico aos computadores”, disse o FBI. “Embora o SRG tenha vitimado empresas em muitos setores, incluindo aqueles nos setores de seguros, finanças e saúde, o grupo tem visado consistentemente escritórios de advocacia sediados nos EUA desde a primavera de 2023.” Como parte do esquema que envolve visitas pessoais, o agente da ameaça informa à vítima que ela precisa criar uma imagem do dispositivo ou criar um arquivo de backup para lidar com possíveis impactos do e-mail de phishing. Ao se firmarem, os invasores agem rapidamente para aumentar os privilégios e migrar para a exfiltração de dados sem criptografia.
“Ao enviar alguém pessoalmente ao local da vítima para facilitar a invasão, os atores do SRG exfiltram os dados para um disco rígido externo ou unidade USB inserido pelo agente da ameaça no computador da vítima”, acrescentou o FBI. Os invasores estão hospedando instaladores e plug-ins falsificados disfarçados de software popular, incluindo ChatGPT, Claude, ZENOLOGY, Ableton Live, AutoTune e Kontakt, no GitHub e SourceForge para distribuir um backdoor Deno conhecido como DinDoor (também conhecido como Tsundere). “Os invasores estão usando canais comprometidos do YouTube para distribuir links para essas plataformas”, disse Malwarebytes. “O DinDoor acaba eliminando diferentes tipos de malware, incluindo um Trojan de acesso remoto (RAT) furtivo, que também usa o tempo de execução Deno JavaScript.” Uma campanha de phishing está usando e-mails enganosos disfarçados de pedidos de compra para induzir os destinatários a abrir arquivos JavaScript maliciosos contidos em arquivos RAR que levam à implantação de uma variante PureLogs para roubar dados confidenciais do dispositivo da vítima.
“Ao analisar o módulo PureLogs, a principal capacidade do malware é coletar dados confidenciais do sistema da vítima, incluindo hardware básico e informações do sistema, credenciais salvas, dados relacionados a criptomoedas e muito mais”, disse Fortinet. “O malware então compacta e criptografa os dados coletados antes de transmiti-los ao servidor C2.” O Reino Unido anunciou sanções contra as bolsas de criptomoedas e a rede A7 usada pela Rússia para contornar as restrições existentes. Entre os atingidos pelas sanções está a HTX (também conhecida como Huobi Global), que é uma das maiores bolsas de criptoativos do mundo, com US$ 3,3 trilhões em volume de negócios em 2025. “É suspeita de fornecer serviços para A7, a rede de pagamentos russa sancionada, e Garantex, a bolsa de criptomoedas sancionada”, disse Elliptic.
É importante notar que a infraestrutura corporativa e de token A7 surgiu após a queda da Garantex em março de 2025. De acordo com dados do TRM Labs, Huobi enviou mais de US$ 4,9 bilhões em transações diretas na rede para entidades sancionadas pelo Reino Unido e entidades da rede A7 desde 2021. Outros as entidades atingidas pelas sanções incluem Bitpapa e Rapira Group, o último dos quais transacionou US$ 375,6 milhões com o sucessor nomeado da Garantex, Grinex.io. A Anthropic anunciou dois novos recursos de segurança para seu Claude AI: um sandbox auto-hospedado para Claude Managed Agents e um novo plugin de orientação de segurança.
“O plugin de orientação de segurança faz com que Claude revise suas próprias alterações de código em busca de vulnerabilidades comuns enquanto funciona e corrige o que encontra na mesma sessão”, disse Anthropic. "O plug-in detecta problemas como injeção, desserialização insegura e APIs DOM inseguras antes que o código chegue a uma solicitação pull, reduzindo a quantidade de revisão de segurança que cabe aos revisores humanos downstream. Uma vez instalado, o plug-in é executado automaticamente. Não há nada para invocar e nenhum comando separado para lembrar.
" Conforme descrito pela Red Hat, um sandbox auto-hospedado “terceiriza o ‘pensamento’ enquanto mantém o ‘fazer’ em sua própria infraestrutura”. Dados da Check Point revelaram que o hacktivismo e o ransomware direcionados a organizações na Alemanha, Áustria e Suíça aumentaram 124% em 2025. Mais de 60% dos incidentes hacktivistas envolveram a desfiguração de websites para amplificar mensagens políticas. Esses esforços originaram-se de NoName057(16), Mr Hamza, chinafans, Dark Storm Team e Hezi Rash.
Os ataques de ransomware, por outro lado, foram liderados principalmente por Akira, Qilin e Safepay. “A Alemanha foi responsável por mais de 80% dos incidentes regionais, com a Suíça com 12% e a Áustria com 8%”, disse a Check Point. “Em toda a Europa, a região DACH representou 18% de todos os ataques registados, colocando a Alemanha acima da França, Espanha e Itália em percentagem de países individuais.” Os atores da ameaça estão cada vez mais capitalizando a excitação pública em torno da Copa do Mundo FIFA de 2026 para campanhas fraudulentas. A Bitdefender disse que identificou mais de 55 campanhas de malvertising relacionadas ao futebol visando usuários por meio de lojas online falsas, anúncios em mídias sociais, operações de pirataria de IPTV, aplicativos de futebol fraudulentos e sorteios com tema FIFA e golpes de loteria distribuídos por e-mail.
“Os utilizadores mais visados estavam no Reino Unido, Portugal, Espanha, Argélia, Estados Unidos, Canadá, México, Bélgica, Alemanha, Brasil e Austrália”, disse a empresa romena. A Check Point disse que os malfeitores estão “inundando a Internet” com lojas de mercadorias falsas, plataformas de apostas fraudulentas e domínios de phishing projetados para roubar dados pessoais e dinheiro. As nações anfitriãs do evento desportivo, Canadá, México e EUA, também registaram um aumento no número médio semanal de ataques cibernéticos por organização em Abril de 2026, com o México a registar uma média semanal de 3.548 ataques cibernéticos por organização. O Group-IB disse ter descoberto seis esquemas fraudulentos distintos e mais de 4.300 domínios fraudulentos que se faziam passar pela presença oficial da FIFA na web.
Isso inclui uma sofisticada campanha de phishing conduzida por uma operadora de língua chinesa e com motivação financeira chamada GHOST STADIUM, que envolve o uso de mais de 300 domínios usando um kit de phishing compartilhado que explora o fluxo de login SSO PingIdentity da FIFA para coletar credenciais e realizar vendas falsas de ingressos e fraudes de pagamento em grande escala. “O GHOST STADIUM construiu um clone perfeito do site oficial da FIFA, completo com um fluxo de autenticação de logon único (SSO) replicado e suporte multilíngue em 11 idiomas”, disse o Group-IB. "Os anúncios do Facebook servem como o principal canal de aquisição de tráfego pago para a campanha GHOST STADIUM." Pesquisadores de segurança cibernética descobriram uma rede de extensão da Chrome Web Store com 126 extensões chamada WaSteal, que se disfarça como ferramentas independentes de CRM do WhatsApp enquanto exfiltra dados pessoais do usuário, cookies de publicidade e mensagens de voz para servidores controlados pela operadora, afetando quase 148.000 usuários. Segundo o pesquisador Jean-Marie R., a rede é operada pela wascript.com.br, que opera uma plataforma white-label.
"A maior variante (WaSeller, 100 mil instalações) incorpora um contêiner GTM ativo, dando ao seu operador execução remota de código silenciosa e permanente, sem extensão data ou revisão do Chrome necessária", disse o pesquisador. "A política de privacidade da própria operadora contradiz diretamente todos os comportamentos documentados." Uma nova técnica chamada GhostTree abusa de junções NTFS para gerar caminhos de arquivo infinitos, fazendo com que os produtos de segurança de endpoint travem e deixem os arquivos sem verificação. "Descobrimos que, ao apontar uma junção de volta para seu próprio diretório pai, um invasor pode criar loops recursivos que geram caminhos de arquivo efetivamente infinitos", disse Varonis. "Com apenas duas linhas de código, um usuário pode gerar infinitos caminhos válidos, tornando impossível concluir a verificação dos diretórios pais com o comando dir recursivamente.
O mesmo se aplica aos produtos EDR que verificam pastas em busca de arquivos maliciosos. Um invasor coloca malware no diretório pai, configura a estrutura do GhostTree e a pasta que o contém torna-se efetivamente impossível de verificar. A varredura trava. Os arquivos maliciosos não são examinados." Uma plataforma emergente de Phishing-as-a-Service (PhaaS) chamada Kali365, observada pela primeira vez em abril de 2026, tem como alvo ambientes Microsoft 365.
"Kali365 foi distribuído principalmente via Telegram, permitindo que atores de ameaças cibernéticas obtenham tokens de acesso do Microsoft 365 e ignorem protocolos de autenticação multifator (MFA) sem interceptar as credenciais do usuário", disse o FBI. "Por meio da assinatura da plataforma Kali365, cibernéticos os agentes de ameaças podem capturar tokens 'OAuth' e obter acesso persistente aos ambientes Microsoft 365 de indivíduos/entidades alvos." US$ 250 por 30 dias a US$ 2.000 por um ano Em um relatório publicado no mês passado, a Arctic Wolf disse que observou uma campanha de phishing de código de dispositivo usando Kali365 para obter acesso inicial e conduzir atividades subsequentes. acesso e atividade pós-comprometimento. Em casos selecionados, os agentes de ameaças estabeleceram regras de caixa de entrada maliciosas para suprimir notificações de segurança, estendendo o tempo de permanência e reduzindo a conscientização do usuário." Barracuda Networks e Proofpoint também alertaram sobre um aumento nas campanhas de phishing de código de dispositivo nos últimos meses.
Barracuda disse que detectou mais de 7 milhões de ataques de código de dispositivo entre março e abril de 2026. "O aumento do phishing de código de dispositivo é a progressão natural do phishing de credenciais, à medida que mais pessoas tomam conhecimento das técnicas de desvio de autenticação multifatorial, os criminosos devem ser criativos", Proofpoint observou. PhishU detalhou uma nova técnica chamada Vaultjacking, que demonstra como o PIN do Google Password Manager (GPM) de 6 dígitos de uma vítima capturado por meio de uma página de phishing de adversário no meio (AitM) pode ser usado para descriptografar todo o cofre GPM sincronizado, "Esse único PIN libera o segredo de domínio de segurança do Google, que descriptografa todas as senhas e chaves de acesso sincronizadas na conta - não apenas a credencial sendo registrada, todo o cofre". Brazzell, PhishU Flounder e CEO, disse em um comunicado.
Uma vez que a página AitM coleta os cookies de sessão do usuário e o PIN GPM, um agente de ameaça pode adicionar uma chave de acesso à conta do Google da vítima para persistência e, em seguida, desbloquear todo o cofre de credenciais sincronizadas da vítima de sua própria infraestrutura. módulo de reconhecimento que identifica o host e mapeia o Active Directory e um agente persistente de comando e controle (C2) que criptografa dados roubados e aguarda operação comandos r. “O que tornou esta campanha particularmente eficaz foi o uso de um certificado de assinatura de código Sectigo emitido legitimamente, registrado sob o que parece ser uma entidade de fachada – Xiamen Lunwei Huage Network Co.(Sectigo), Ltd”, disse K7 Labs. "No momento da entrega, o certificado era totalmente válido, o que significa que o Windows SmartScreen e a maioria dos controles de endpoint não levantaram sinalizadores.
Desde então, ele foi revogado, embora ofereça proteção limitada a ambientes que não impõem verificações de OCSP ou CRL em tempo real no tempo de execução." Nada disso era especialmente sofisticado. Essa é a lição que ninguém quer ouvir. A maioria das violações ainda começa com abuso de confiança, configurações obsoletas, controles de acesso preguiçosos ou usuários sendo projetados socialmente por alguém que parece vagamente competente ao telefone. Patch mais rápido.
Auditoria mais difícil. Pare de presumir que software assinado, prompts de MFA ou ferramentas "somente internas" significam segurança. Os invasores já descobriram os atalhos. Talvez seja hora de os defensores pararem de fingir que esses atalhos não existem.
Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.