Resultados de busca

Pesquisadores identificaram uma nova variante do MacSync, um malware do tipo stealer  voltado para macOS, que utiliza um aplicativo digitalmente assinado e notarizado para driblar os mecanismos de segurança da Apple, como o Gatekeeper e o XProtect. O ataque chama atenção por adotar técnicas mais sofisticadas de evasão, fazendo o malware se passar por um instalador legítimo de aplicativo de mensagens. De acordo com pesquisadores da Jamf, essa versão do MacSync representa uma evolução em relação a variantes anteriores, que dependiam fortemente de truques como arrastar arquivos para o terminal ou falsas correções técnicas ( ClickFix ). Agora, os hackers apostam em uma abordagem mais silenciosa e automatizada, reduzindo a interação do usuário e aumentando as chances de sucesso da infecção. A campanha distribui o malware por meio de um arquivo DMG chamado “zk-call-messenger-installer-3.9.2-lts.dmg”, hospedado em um site que imita um serviço legítimo. Por estar devidamente assinado e notarizado, o instalador consegue ser executado sem alertas iniciais do sistema operacional. Mesmo assim, o aplicativo ainda exibe instruções para que o usuário clique com o botão direito e selecione “Abrir”, uma técnica comum usada por hackers para contornar verificações adicionais do macOS. Após a descoberta, a Apple revogou o certificado de assinatura utilizado no ataque. O instalador, escrito em Swift, atua como um dropper  e realiza diversas verificações antes de baixar a carga maliciosa principal. Entre elas estão a checagem de conectividade com a internet, a imposição de um intervalo mínimo de execução de cerca de uma hora (como forma de rate limit ) e a remoção de atributos de quarentena dos arquivos. Em seguida, um script codificado é baixado e executado por meio de um componente auxiliar. Os pesquisadores também destacaram mudanças sutis, porém relevantes, na forma como o malware utiliza o comando curl para baixar o payload. A alteração nos parâmetros e o uso de variáveis dinâmicas indicam uma tentativa clara de aumentar a confiabilidade da infecção e, ao mesmo tempo, dificultar a detecção por soluções de segurança. Outro ponto curioso da campanha é o uso de um arquivo DMG anormalmente grande, com cerca de 25,5 MB, inflado propositalmente pela inclusão de documentos PDF irrelevantes. Essa técnica ajuda a mascarar o conteúdo real do instalador e reduzir suspeitas durante análises superficiais. Após a decodificação , o payload Base64 revela o próprio MacSync , uma versão rebatizada do malware Mac.c , observado pela primeira vez em abril de 2025. Diferentemente de stealers mais simples, o MacSync incorpora um agente desenvolvido em Go, com funcionalidades completas de comando e controle remoto, permitindo que hackers executem ações adicionais nos sistemas comprometidos. Especialistas alertam que essa estratégia reflete uma tendência crescente no ecossistema de malware para macOS : a utilização de aplicativos assinados e notarizados para fazer códigos maliciosos parecerem legítimos. Esse movimento aumenta significativamente o risco para usuários e empresas que confiam apenas nos controles nativos do sistema operacional para se proteger. Via - THN

A Nissan informou que dados pessoais de aproximadamente 21 mil clientes foram expostos após um acesso não autorizado a um servidor gerenciado pela Red Hat. O incidente afetou clientes que compraram veículos ou realizaram serviços na antiga Nissan Fukuoka Motor Co., atual Nissan Fukuoka Sales Co., no Japão. Segundo comunicado oficial divulgado em dezembro, a invasão foi detectada em setembro, mas a montadora só foi formalmente notificada no início de outubro. Embora não haja indícios de roubo de dados financeiros ou cartões de crédito, informações sensíveis como nome, endereço, telefone, parte do e-mail e dados usados em atividades comerciais foram comprometidas. A Nissan afirmou que, até o momento, não há confirmação de uso indevido das informações vazadas. Ainda assim, a empresa alertou os clientes para redobrar a atenção a ligações suspeitas, mensagens e correspondências, já que esse tipo de dado costuma ser explorado por hackers em campanhas de phishing e fraudes financeiras direcionadas. Em nota, a montadora declarou que trata o incidente com seriedade e que irá reforçar o monitoramento de fornecedores terceirizados, além de implementar medidas adicionais para fortalecer sua postura de segurança da informação. A empresa também pediu desculpas públicas aos clientes afetados. A Red Hat subsidiária da IBM já havia divulgado anteriormente que um terceiro não autorizado acessou e copiou dados de uma instância dedicada do GitLab, utilizada em serviços de consultoria. De acordo com a notificação da Nissan, a Red Hat identificou a atividade maliciosa em 26 de setembro e comunicou a montadora em 3 de outubro. Embora nenhuma das empresas tenha atribuído oficialmente o ataque a um grupo específico, no início de outubro o Crimson Collective afirmou ter invadido repositórios privados da Red Hat e exfiltrado cerca de 570 GB de dados, incluindo documentos sensíveis de clientes. Posteriormente, o grupo alegou parceria com hackers ligados ao ShinyHunters para tentar extorquir a empresa. Este é o terceiro grande vazamento envolvendo a Nissan em três anos. Em maio de 2024, a montadora confirmou o roubo de dados pessoais de mais de 50 mil funcionários da América do Norte, após um ataque direcionado ocorrido em 2023. Meses antes, a divisão da Oceania havia sido alvo do grupo ransomware Akira, que comprometeu informações de mais de 100 mil clientes. O histórico reforça os desafios enfrentados por grandes organizações na gestão de riscos cibernéticos em cadeias de suprimentos, especialmente quando dados sensíveis dependem de ambientes terceirizados e plataformas colaborativas de desenvolvimento. Via - TR

O Senado dos Estados Unidos confirmou nesta quinta-feira a indicação do presidente Donald Trump para o cargo de Chief Information Officer (CIO) do Departamento de Defesa dos Estados Unidos. A executiva Kirsten Davies assumirá a liderança da estratégia digital e de cibersegurança do Pentágono após aprovação por 53 votos a 43. A confirmação ocorreu em bloco, juntamente com cerca de 100 outros indicados para cargos federais, após uma mudança de regras liderada pelos republicanos que permite a aprovação conjunta de altos funcionários em uma única votação. Davies havia sido indicada originalmente em maio e substituirá Katie Arrington, que exercia a função interinamente desde março. Durante a audiência de confirmação no Comitê de Serviços Armados do Senado , Davies destacou que o Pentágono ainda é fortemente impactado por sistemas legados caros, pouco eficientes e difíceis de integrar, além de uma gestão de dados que não acompanha a velocidade das ameaças atuais. Como diretriz estratégica, ela afirmou que soluções comerciais devem se tornar a “primeira escolha presumida” para iniciativas relacionadas à tecnologia e à cibersegurança. A proposta está alinhada ao esforço do Departamento de Defesa para acelerar a aquisição de novas capacidades, reduzir burocracias e colocar tecnologias modernas em operação com mais rapidez. “Os ataques cibernéticos são constantes, os adversários dos Estados Unidos são altamente capacitados e motivados, e o nível de dissuasão ainda é limitado. Mudanças profundas são necessárias neste momento”, afirmou Davies aos senadores. Antes de assumir o cargo no Pentágono, Kirsten Davies atuava como CISO da Unilever, função que também exerceu anteriormente na Estée Lauder Companies. Sua trajetória inclui ainda a posição de Chief Security Officer no Barclays Africa, hoje conhecido como ABSA. Davies também ocupou cargos técnicos e executivos em empresas como Hewlett Packard e Siemens, além de posições de liderança em consultorias globais como Booz Allen Hamilton e Deloitte Australia. Via - RFN

A agência nacional responsável pela gestão dos recursos hídricos da Romênia confirmou no domingo que foi vítima de um ataque ransomware que bloqueou o acesso de funcionários a cerca de 1.000 sistemas computacionais. O incidente afetou desde estações de trabalho até servidores internos, causando impactos significativos nas operações administrativas da instituição. De acordo com a Diretoria Nacional de Segurança Cibernética da Romênia , o ataque não comprometeu tecnologias operacionais (OT) nem infraestruturas críticas, como barragens e sistemas de defesa contra enchentes. Ainda assim, a indisponibilidade dos sistemas de e-mail forçou a equipe a recorrer a telefonia e rádio para manter as comunicações internas, evidenciando a gravidade do impacto operacional. Um dos pontos mais relevantes do incidente é a técnica utilizada pelos hackers. Diferentemente de ataques ransomware tradicionais, nos quais softwares maliciosos são introduzidos no ambiente, a análise inicial indica que os invasores exploraram o BitLocker, ferramenta legítima de criptografia do próprio Windows, para bloquear os sistemas e tentar extorquir a organização. Esse tipo de abordagem se enquadra na técnica conhecida como LOLBins (Living Off the Land Binaries), na qual hackers utilizam ferramentas nativas do sistema operacional para driblar controles de segurança, reduzir a detecção por antivírus e se movimentar lateralmente pela rede de forma mais silenciosa. Pesquisas publicadas no ano passado pela Kaspersky já haviam identificado uma onda de ataques semelhantes em países como México, Indonésia e Jordânia, atingindo setores sensíveis como siderurgia, fabricação de vacinas e até órgãos governamentais. Já a Bitdefender alertou para o uso do malware ShrinkLocker, um script criado especificamente para abusar do BitLocker, empregado por múltiplos grupos hackers em ataques considerados “mais simples”, especialmente contra versões legadas do Windows. Segundo a agência de segurança cibernética da Romênia, os hackers deixaram uma nota de resgate exigindo contato em até sete dias. As autoridades reforçaram que a política oficial do país é não negociar nem manter qualquer tipo de comunicação com grupos hackers, prática alinhada às recomendações internacionais para lidar com extorsão digital. Via - RFN

Ferramentas de Inteligência Artificial estão transformando a forma como software é criado mas também estão redefinindo a superfície de ataque digital. Plataformas como a BlackBox AI surgem justamente para enfrentar esse dilema: acelerar o desenvolvimento sem perder contexto, controle e segurança. Em um cenário onde código gerado automaticamente pode chegar à produção em minutos, entender como, onde e por que esse código existe passou a ser um fator crítico de defesa. Esse alerta ganhou força após declarações de Sanaz Yashar, CEO da Zafran Security e ex-integrante da Unit 8200, a elite cibernética das Forças de Defesa de Israel. Em entrevista ao The Register, Yashar afirmou que o chamado “WannaCry da IA” ainda não aconteceu mas é apenas uma questão de tempo. Segundo ela, a velocidade com que vulnerabilidades estão sendo exploradas atingiu um patamar sem precedentes, impulsionada pelo uso massivo de IA por atacantes e também por desenvolvedores dentro das próprias empresas. No passado, o desenvolvimento de um exploit zero-day podia levar meses. Hoje, com modelos de linguagem e automação baseada em IA, esse ciclo foi drasticamente reduzido. Dados da Mandiant mostram que, em 2024 , o Time-to-Exploit (TTE) chegou a -1 dia, indicando que falhas estão sendo exploradas antes mesmo da liberação de correções oficiais. O problema, segundo especialistas, não é apenas a IA acelerar ataques, mas o fato de ela também estar acelerando a entrega de código sem entendimento profundo de dependências, fluxos e impactos reais no ambiente. É nesse ponto que a abordagem da BlackBox AI se diferencia. Em vez de atuar como um simples gerador de trechos isolados, a plataforma funciona como um copiloto profissional, capaz de entender repositórios inteiros, trabalhar diretamente em projetos GitHub e executar tarefas complexas por meio de agentes autônomos em nuvem. Recursos como a BlackBox CLI, que cria projetos completos a partir de um único comando, e o uso de Remote Agents para automação de fluxos, testes e integrações, ajudam a reduzir erros silenciosos que costumam surgir quando a IA é usada sem contexto. Além das vulnerabilidades tradicionais, Yashar chama atenção para novas classes de ataques, como prompt injection, abuso de agentes autônomos e falhas em frameworks de IA. Para ela, o maior risco está no “dano colateral”: grupos hackers menos experientes ou países com baixa maturidade cibernética podem explorar essas falhas sem compreender o impacto sistêmico, derrubando serviços críticos em escala global assim como ocorreu com o WannaCry em 2017. A diferença, agora, é que o mesmo tipo de automação que acelera ataques também pode ser usado para reduzir riscos no ciclo de desenvolvimento, desde que aplicada com critério. Plataformas que unem velocidade, contexto e supervisão humana tornam-se essenciais para evitar que produtividade se transforme em vulnerabilidade. Como resume a própria Yashar, o futuro da segurança será híbrido: IA para escala e rapidez, humanos para decisão e responsabilidade e, cada vez mais, ferramentas capazes de conectar esses dois mundos. Via - TR

Os Correios da França, a La Poste, confirmaram que um incidente de negação de serviço distribuída (DDoS) causou instabilidade em seus sites e aplicativos móveis poucos dias antes do Natal. O ataque cibernético resultou na indisponibilidade de sistemas digitais essenciais, impactando diretamente a logística e atrasando a entrega de encomendas em um dos períodos mais críticos do ano para o serviço postal. Em comunicado divulgado na segunda-feira, a La Poste afirmou que não há indícios de comprometimento de dados de clientes, mas reconheceu que as operações postais, incluindo a distribuição de pacotes, foram afetadas. Algumas agências passaram a operar com capacidade reduzida, embora os atendimentos presenciais tanto postais quanto bancários tenham sido mantidos nos balcões físicos. A instabilidade também atingiu a La Banque Postale, braço bancário do grupo. Clientes relataram dificuldades para acessar o internet banking e o aplicativo móvel. Apesar disso, pagamentos com cartão em terminais físicos e saques em caixas eletrônicos continuaram funcionando normalmente. Compras online também permaneceram possíveis, desde que validadas por autenticação via SMS. O ataque ocorreu em meio a um aumento expressivo na demanda por serviços postais, típico do período natalino. Nas redes sociais, consumidores reclamaram que os atrasos poderiam impedir a chegada de presentes a tempo do Natal. Veículos da imprensa francesa relataram ainda que algumas pessoas não conseguiram postar ou retirar encomendas devido às restrições operacionais temporárias. O incidente acontece poucos dias após um vazamento de dados no Ministério do Interior da França, no qual invasores obtiveram acesso não autorizado a contas de e-mail e documentos confidenciais. Nesse caso, as autoridades francesas chegaram a prender um suspeito de 22 anos. Até o momento, não há confirmação sobre a autoria do ataque DDoS contra a La Poste, e a empresa não atribuiu a ação a nenhum grupo hacker específico. Via - RFN

O presidente dos Estados Unidos, Donald Trump, sancionou nesta quinta-feira (à noite) a Lei de Autorização de Defesa Nacional (NDAA) para 2026 , um pacote de US$ 901 bilhões que define políticas e libera recursos para a segurança nacional norte-americana. O texto, aprovado com apoio bipartidário no Congresso, traz dispositivos estratégicos voltados à cibersegurança, com destaque para investimentos diretos no U.S. Cyber Command e novas exigências de proteção digital para autoridades do Departamento de Defesa (DoD). Um dos pontos centrais da lei é a manutenção do modelo de liderança conjunta (dual-hat) entre o U.S. Cyber Command e a Agência de Segurança Nacional (NSA). O texto proíbe explicitamente o uso de recursos do Pentágono para reduzir responsabilidades, autoridade ou supervisão do comandante do Cyber Command estrutura em vigor desde a criação do comando, em 2010, e que há anos é alvo de debates dentro do governo e das Forças Armadas. Durante seu primeiro mandato, Trump chegou a considerar a separação das duas entidades, mas recuou após resistência da cúpula militar. A nova legislação também oficializa a indicação do tenente-general do Exército Joshua Rudd como próximo comandante do Cyber Command e diretor da NSA. Em termos orçamentários, o comando cibernético receberá cerca de US$ 73 milhões para operações digitais, além de US$ 30 milhões para atividades não especificadas e US$ 314 milhões destinados à operação e manutenção da sede em Fort Meade, Maryland. Outro destaque relevante da NDAA é a exigência de que o secretário de Defesa garanta celulares com “proteções cibernéticas aprimoradas” incluindo criptografia para líderes seniores do DoD. A medida surge após relatórios do inspetor-geral do Pentágono , que apontaram falhas graves no uso de aplicativos comerciais de mensagens para tratar informações sensíveis, incluindo discussões sobre uma ofensiva militar no Iêmen. Um segundo relatório indicou que o Departamento de Defesa ainda não dispõe de uma plataforma segura de mensagens adequada para coordenar operações críticas. A lei também impõe novos prazos para o mapeamento de infraestruturas críticas que dependem de componentes ligados a “entidades estrangeiras de preocupação”, ampliando o foco em cadeia de suprimentos e riscos geopolíticos. Além disso, o Pentágono terá até junho do próximo ano para harmonizar seus próprios requisitos de cibersegurança, reduzindo burocracias internas iniciativa que deve se tornar um dos pilares da nova Estratégia Nacional de Cibersegurança, prevista para ser divulgada pela administração Trump no próximo mês. Via - FRN

A Suprema Corte da Pensilvânia decidiu, nesta terça-feira, que a polícia pode acessar históricos de buscas no Google sem a necessidade de mandado judicial durante investigações criminais. A decisão foi tomada no contexto de um caso envolvendo um estuprador condenado e estabelece um precedente jurídico relevante dentro do estado norte-americano. No entendimento do tribunal, usuários da internet não possuem uma expectativa razoável de privacidade ao realizarem pesquisas online, uma vez que é de “conhecimento comum” que sites, aplicativos e provedores de serviços de internet coletam e, posteriormente, compartilham ou comercializam dados dos usuários. Para os magistrados, esse cenário enfraquece qualquer alegação de privacidade sobre consultas feitas em mecanismos de busca. Embora a decisão tenha validade apenas na Pensilvânia, especialistas alertam que o julgamento pode influenciar outras jurisdições nos Estados Unidos. O professor de direito Andrew Ferguson, da Universidade George Washington, avalia que o posicionamento da corte pode incentivar forças policiais de outros estados a recorrerem com mais frequência a coletas de dados sem mandado, especialmente em investigações complexas. O caso analisado envolvia uma investigação de estupro que havia chegado a um impasse. Como última tentativa de identificar o autor do crime, a polícia solicitou ao Google uma lista de usuários que haviam pesquisado o endereço da vítima na semana anterior ao ataque. A empresa identificou uma busca realizada poucas horas antes do crime, associada a um endereço IP ligado à residência do acusado, John Edward Kurtz. A corte destacou que a própria política de privacidade do Google informa de forma explícita que dados de buscas podem ser compartilhados com terceiros. Segundo a decisão, a empresa deixa claro que os usuários não devem esperar confidencialidade ao utilizar seus serviços. Os juízes também argumentaram que os internautas possuem alternativas para evitar a exposição de dados, como o uso de outros métodos de busca ou ferramentas voltadas à privacidade. Outro ponto ressaltado é que, na visão do tribunal, o rastro de dados deixado por buscas na internet não é involuntário da mesma forma que o rastreamento gerado pelo simples porte de um celular. Para a corte, o usuário opta conscientemente por utilizar plataformas digitais, assumindo os riscos associados à coleta de informações. Apesar disso, especialistas veem a decisão com preocupação. Ferguson afirmou que permitir o acesso policial a buscas sem mandado cria um “ambiente intimidador”, já que muitas pessoas recorrem ao Google para perguntas extremamente pessoais. Segundo ele, buscas reversas por palavras-chave permitem que o Estado infira pensamentos e intenções, ultrapassando limites tradicionais de proteção à privacidade individual. Via - RFN

As autoridades francesas prenderam, na última quarta-feira, um jovem de 22 anos suspeito de envolvimento em uma invasão cibernética aos sistemas do Ministério do Interior da França . O ataque resultou no acesso indevido a diversas contas de e-mail institucionais e a dezenas de documentos confidenciais, considerados sensíveis pelo governo francês. O ministério confirmou o que classificou como um incidente grave, após um usuário reivindicar a autoria da invasão em uma publicação no fórum de cibercrime BreachForums. Em nota, um porta-voz do governo afirmou que a “realidade e a extensão” das informações divulgadas na plataforma ainda estão sendo analisadas de forma aprofundada no âmbito da investigação em curso. O ministro do Interior, Laurent Nuñez, declarou a jornalistas que a invasão, ocorrida na semana passada, comprometeu arquivos relacionados a registros judiciais e listas de pessoas procuradas. Segundo ele, os hackers permaneceram dentro da rede do ministério por vários dias antes de serem detectados, o que aumenta a complexidade da apuração. Apesar da gravidade do incidente, Nuñez afirmou não ser possível dizer, neste momento, se o ataque comprometeu investigações em andamento. O ministro também destacou que nenhuma exigência de resgate foi feita e que, até agora, não há indícios de que a ação tenha colocado em risco a vida de cidadãos franceses. Autoridades informaram que o caso está sendo tratado “com o mais alto nível de vigilância”, devido à natureza crítica e sensível dos sistemas afetados. Em comunicado publicado nas redes sociais, o Ministério Público de Paris confirmou a prisão do suspeito, que responde por acusações que incluem ataque a um sistema automatizado de processamento de dados pessoais operado pelo Estado, supostamente realizado como parte de um grupo organizado. De acordo com os promotores, o crime pode resultar em uma pena de até 10 anos de prisão. O suspeito, nascido em 2003, já era conhecido das autoridades e havia sido condenado anteriormente por crimes semelhantes no início deste ano. A promotoria informou que novas atualizações serão divulgadas durante o período de custódia policial, que pode durar até 48 horas. Via - RFN

O grupo hacker norte-coreano Kimsuky foi associado a uma nova campanha de ataques que utiliza QR Codes maliciosos para distribuir uma variante inédita de malware para Android, batizada de DocSwap. A operação se apoia em sites de phishing que se passam pela empresa de logística sul-coreana CJ Logistics, induzindo vítimas a instalar aplicativos falsos de rastreamento de encomendas em seus smartphones. De acordo com Pesquisadores da empresa sul-coreana ENKI , os hackers utilizam pop-ups e notificações falsas para convencer os usuários a escanear QR Codes ou clicar em links maliciosos. Esses recursos levam à instalação de um aplicativo que, após executado, descriptografa um APK malicioso embutido e ativa um serviço com funcionalidades de RAT (Remote Access Trojan), permitindo controle remoto completo do dispositivo. A campanha explora o fato de que o Android, por padrão, bloqueia a instalação de aplicativos de fontes desconhecidas. Para contornar essa proteção, os hackers alegam que o app é uma versão oficial e segura, incentivando as vítimas a ignorarem os alertas de segurança do sistema operacional. Em muitos casos, os arquivos se disfarçam como aplicativos legítimos de serviços de entrega. Um dos diferenciais do ataque é o uso de redirecionamento por QR Code. Quando a vítima acessa o site de phishing por um computador, a página exibe um QR Code que deve ser escaneado com um celular Android para supostamente baixar um aplicativo de rastreamento de encomendas. O QR Code direciona para um script chamado tracking.php, que analisa o User-Agent do navegador e exibe uma mensagem solicitando a instalação de um “módulo de segurança”, sob o pretexto de exigências de “políticas internacionais de segurança alfandegária”. Ao prosseguir com a instalação, o dispositivo baixa um arquivo APK chamado SecDelivery.apk, hospedado em um servidor controlado pelos hackers. Esse APK descriptografa e executa uma versão atualizada do DocSwap, após verificar permissões críticas como acesso à internet, armazenamento, instalação de pacotes adicionais e gerenciamento de arquivos externos. Uma vez ativo, o malware registra um serviço chamado com.delivery.security.MainService e exibe uma falsa tela de autenticação por OTP, simulando a verificação de identidade por meio de um número de entrega. Esse número já vem embutido no código do aplicativo e, após inserido, o app gera um código de verificação falso para concluir o processo, enquanto abre simultaneamente o site legítimo da CJ Logistics para não levantar suspeitas. Em segundo plano, o trojan estabelece comunicação com um servidor remoto controlado pelos hackers, de onde recebe dezenas de comandos maliciosos. Entre as capacidades identificadas estão registro de teclas digitadas, captura de áudio, controle da câmera, acesso a arquivos, coleta de localização, SMS, contatos, registros de chamadas e inventário de aplicativos instalados, além de upload e download de dados. Os Pesquisadores também identificaram outras amostras do ataque, incluindo aplicativos disfarçados como um serviço de airdrop de criptomoedas e uma versão adulterada de um aplicativo legítimo de VPN disponível na Google Play Store . Segundo a ENKI, isso indica que o grupo hacker modificou aplicativos reais, injetou código malicioso e os redistribuiu como parte da campanha. A análise da infraestrutura utilizada revelou ainda sites de phishing clonando plataformas populares da Coreia do Sul, como Naver e Kakao, com o objetivo de roubar credenciais. Esses domínios apresentam semelhanças com campanhas anteriores do Kimsuky , demonstrando uma evolução contínua das técnicas de engenharia social e distribuição de malware móvel. Via - THN

A SonicWall anunciou a liberação de correções de segurança para uma vulnerabilidade explorada ativamente em appliances da linha Secure Mobile Access (SMA) 100. A falha, identificada como CVE-2025-40602, afeta o console de gerenciamento dos dispositivos e permite elevação local de privilégios devido a controles de autorização insuficientes. De acordo com a empresa, a vulnerabilidade recebeu pontuação CVSS de 6,6 e impacta versões específicas do firmware. Estão vulneráveis os appliances com as versões 12.4.3-03093 e anteriores, corrigidas na versão 12.4.3-03245, além das versões 12.5.0-02002 e anteriores, que tiveram o problema resolvido na 12.5.0-02283. A SonicWall reforça que a atualização é essencial para mitigar riscos imediatos. Segundo o comunicado oficial, a CVE-2025-40602 foi explorada em conjunto com outra falha crítica, a CVE-2025-23006, que possui CVSS 9,8. A combinação das duas vulnerabilidades possibilitou que hackers alcançassem execução remota de código sem autenticação, com privilégios de root, representando um risco elevado para ambientes corporativos. A CVE-2025-23006 já havia sido corrigida pela SonicWall no final de janeiro de 2025. A descoberta da falha mais recente é creditada aos Pesquisadores Clément Lecigne e Zander Work, do Google Threat Intelligence Group (GTIG). Até o momento, não foram divulgadas informações oficiais sobre a escala dos ataques ou a identidade dos hackers responsáveis pelas explorações. O alerta ocorre em um contexto de ameaças recorrentes envolvendo appliances da SonicWall. Em julho, o Google informou que monitora um cluster identificado como UNC6148, responsável por ataques contra dispositivos SMA 100 fora de suporte (end-of-life), mesmo quando totalmente corrigidos. Esses ataques tinham como objetivo a instalação de um backdoor chamado OVERSTEP, embora ainda não esteja claro se há relação direta com a exploração atual. Diante da confirmação de exploração ativa, a SonicWall recomenda que todos os usuários da linha SMA 100 apliquem imediatamente as atualizações de segurança disponíveis, reduzindo a superfície de ataque e evitando comprometimentos mais graves. Atualização: A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu a CVE-2025-40602 em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Com isso, as agências federais civis norte-americanas devem aplicar as correções obrigatoriamente até 24 de dezembro de 2025. Via - THN

A Cisco emitiu um alerta urgente sobre uma vulnerabilidade zero-day de severidade máxima em seu software Cisco AsyncOS, que já está sendo explorada ativamente em ataques direcionados a appliances Cisco Secure Email Gateway e Cisco Secure Email and Web Manager. Segundo a empresa, a falha vem sendo explorada por um grupo hacker com supostos vínculos com a China, identificado pelo codinome UAT-9686. A campanha de invasões foi identificada pela Cisco em 10 de dezembro de 2025 e, até o momento, atinge um “conjunto limitado de appliances” que possuem portas específicas expostas diretamente à internet. Ainda não há confirmação oficial sobre o número total de clientes impactados. De acordo com a Cisco, a exploração da falha permite que hackers executem comandos arbitrários com privilégios de root no sistema operacional subjacente dos dispositivos afetados, além de implantar mecanismos de persistência para manter o controle mesmo após tentativas de mitigação. A vulnerabilidade, ainda sem correção disponível, está registrada como CVE-2025-20393 e recebeu a pontuação máxima de 10.0 no CVSS. O problema está relacionado a uma validação inadequada de entradas, o que possibilita a execução de instruções maliciosas com privilégios elevados. Todas as versões do Cisco AsyncOS são afetadas, desde que algumas condições específicas sejam atendidas. Para que a exploração ocorra , o recurso Spam Quarantine precisa estar habilitado e acessível pela internet vale destacar que essa funcionalidade não vem ativada por padrão. A Cisco orienta os administradores a verificarem se o recurso está ativo por meio da interface web de gerenciamento, acessando as configurações de rede e interfaces associadas ao Spam Quarantine. As investigações apontam que os ataques estão em andamento desde pelo menos o final de novembro de 2025. Durante as invasões, o grupo hacker tem utilizado ferramentas de tunelamento como ReverseSSH (AquaTunnel) e Chisel, além de um utilitário de limpeza de logs chamado AquaPurge, com o objetivo de ocultar rastros da atividade maliciosa. O uso do AquaTunnel já foi associado anteriormente a outros grupos hackers chineses, como o APT41. Outro componente identificado nos ataques é um backdoor em Python, batizado de AquaShell, capaz de receber comandos codificados por meio de requisições HTTP POST não autenticadas e executá-los diretamente no shell do sistema. Esse mecanismo amplia significativamente a capacidade de controle remoto dos dispositivos comprometidos. Enquanto não há um patch disponível, a Cisco recomenda medidas imediatas de mitigação, como restringir o acesso dos appliances à internet, posicioná-los atrás de firewalls permitindo conexões apenas de hosts confiáveis, separar interfaces de gerenciamento e de e-mail, monitorar logs web em busca de tráfego suspeito e desativar o acesso HTTP ao portal administrativo principal. A empresa também orienta a desativação de serviços de rede desnecessários, o uso de autenticação forte (como SAML ou LDAP) e a alteração da senha padrão de administrador. Em casos de comprometimento confirmado, a Cisco afirma que a reconstrução completa dos appliances é, atualmente, a única forma eficaz de eliminar os mecanismos de persistência implantados pelos hackers. Diante da gravidade do cenário, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu a CVE-2025-20393 em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Com isso, agências federais civis norte-americanas devem aplicar as mitigações necessárias até 24 de dezembro de 2025. Paralelamente, a empresa de inteligência de ameaças GreyNoise identificou uma campanha automatizada de tentativas de login baseada em credenciais fracas contra infraestruturas de VPN corporativas. Mais de 10 mil endereços IP participaram de ataques de força bruta contra portais Palo Alto GlobalProtect e Cisco SSL VPN, utilizando combinações comuns de usuário e senha. Segundo a GreyNoise, trata-se de uma campanha em larga escala, automatizada e coordenada, embora não relacionada diretamente à exploração de vulnerabilidades. Via - THN