hu, 28 May 2026
← VoltarOs agentes de ameaças exploram uma vulnerabilidade crítica do FortiClient EMS para fornecer malware que rouba credenciais por meio de atualizações disfarçadas de endpoint.
Os agentes de ameaças continuam a explorar uma falha de segurança crítica, agora corrigida, que afeta as implantações do FortiClient Endpoint Management Server (EMS) para fornecer malware de roubo de credenciais. “A campanha abusou da infraestrutura confiável de gerenciamento de endpoints para distribuir malware em endpoints gerenciados”, disse Arctic Wolf. “Os atores da ameaça disfarçaram a carga útil do ladrão de credenciais como uma atualização de endpoint Fortinet, executando silenciosamente o executável malicioso por meio do PowerShell.” A atividade, observada pela empresa de segurança cibernética em maio de 2026, envolve a exploração do CVE-2026-35616 (pontuação CVSS: 9,1), um desvio crítico de acesso à API de pré-autenticação que leva ao escalonamento de privilégios. O problema foi resolvido pela Fortinet no FortiClient EMS 7.4.7 e posterior.
Um comprometimento bem-sucedido é seguido pela tomada de medidas pelo agente da ameaça para modificar as configurações para adiar lembretes de atualização de firmware, bem como modificar uma configuração de perfil de acesso remoto e uma política de endpoint para inserir um script malicioso para execução em dispositivos de endpoint. “O padrão de execução observado sugere que os agentes de ameaças usaram o próprio caminho de gerenciamento do FortiClient para enviar comandos maliciosos do PowerShell para endpoints gerenciados de uma forma que se assemelhava a operações de gerenciamento legítimas”, disse Arctic Wolf. “Depois que os agentes da ameaça tiveram uma rota para modificar a configuração gerenciada pelo EMS, cada endpoint gerenciado se tornou um alvo potencial de execução sem exigir um caminho de intrusão separado para cada dispositivo”. Além disso, descobriu-se que o ataque utiliza “fortitray.exe”, um executável legítimo associado ao FortiClient para iniciar um arquivo de script .cmd usando “cmd.exe”.
O script .cmd foi projetado para invocar um script PowerShell codificado em Base64 que, por sua vez, é responsável por baixar uma carga maliciosa, executá-la e exfiltrar os resultados para "83.138.53[.]110" por meio de uma solicitação HTTP POST. O executável, denominado "FortiEndpoint_Patch.exe", se disfarça como uma atualização, mas, na realidade, é um ladrão de informações do Windows não relatado anteriormente, capaz de coletar dados confidenciais, como senhas, cookies e detalhes de preenchimento automático, como informações de cartão de crédito, endereços e números de telefone, de navegadores baseados em Chromium e Gecko. Os dados são gravados em um arquivo de log e salvos no diretório ProgramData. Vale a pena notar que o ladrão não possui recursos de exfiltração baseados em rede.
É o script do PowerShell que transmite os dados capturados para a infraestrutura controlada pelo invasor. “Ao ignorar a autenticação da API e interagir com a funcionalidade do EMS em um contexto privilegiado, os agentes de ameaças foram capazes de modificar a configuração de gerenciamento e enviar scripts maliciosos para execução em endpoints gerenciados”, disse Arctic Wolf. “Cookies de sessão e credenciais de navegador salvas podem fornecer aos agentes de ameaças acesso subsequente a serviços em nuvem, aplicativos internos e outros recursos autenticados, incluindo casos em que a reutilização de sessão pode contornar os prompts de MFA.” Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.