📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ThreatsDay Bulletin está de volta ao The Hacker News, e esta semana parece familiar. Nada alto, nada quebrando tudo de uma vez. Apenas um monte de pequenas coisas que não deveriam mais funcionar, mas ainda funcionam.
Algumas delas parecem simples, quase desleixadas, até você ver como funciona bem. Outras partes parecem um pouco práticas demais, como se já estivessem mais próximas do uso no mundo real do que alguém gostaria de admitir. E o ruÃdo de fundo está ficando mais alto novamente, do tipo que as pessoas geralmente ignoram.
Algumas histórias são inteligentes no mau sentido. Outros são frustrantemente evitáveis. No geral, parece que uma pressão silenciosa está aumentando em lugares importantes.
Dê uma olhada ou leia corretamente, mas não pule este.
RaaS emergente explorando falhas do FortiGate
Os senhores RaaS detalhados
O Grupo-IB esclareceu as várias táticas adotadas pelo The Gentlemen, uma operação nascente de Ransomware como serviço (RaaS) que consiste em cerca de 20 membros. Originou-se de uma disputa de pagamento depois que seu operador “hastalamuerte” abriu um tópico de arbitragem pública no fórum de crimes cibernéticos RAMP, acusando os operadores de ransomware Qilin de comissões de afiliados não pagas no valor de US$ 48.000. O grupo usa principalmente CVE-2024-55591, uma vulnerabilidade crÃtica de desvio de autenticação no FortiOS/FortiProxy, para acesso inicial. “O grupo mantém um banco de dados operacional de aproximadamente 14.700 dispositivos FortiGate já explorados em todo o mundo”, afirmou a empresa. “Separados dos dispositivos explorados, as operadoras mantêm 969 credenciais validadas do FortiGate VPN de força bruta, prontas para ataques.” The Gentlemen também emprega evasão de defesa por meio da técnica traga seu próprio driver vulnerável (BYOVD) para encerrar processos de segurança no nÃvel do kernel. Cerca de 94 organizações já foram atacadas por este grupo ameaçador desde o seu surgimento em julho/agosto de 2025.
Cadeia RCE de pré-autenticação na plataforma ITSM
Múltiplas falhas no BMC FootPrints
Quatro falhas de segurança (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259 e CVE-2025-71260) foram divulgadas no BMC FootPrints, uma solução ITSM amplamente implantada, que pode ser encadeada à execução remota de código de pré-autenticação. A sequência de ataque começa com um desvio de autenticação (CVE-2025-71257) que extrai um token de sessão de convidado ("SEC_TOKEN") do endpoint de redefinição de senha, que é então usado para alcançar um coletor de desserialização Java não higienizado (CVE-2025-71260) no parâmetro "__VIEWSTATE" do endpoint "/aspnetconfig". A exploração por meio da cadeia de gadgets AspectJWeaver permite a gravação arbitrária de arquivos no diretório raiz da web do Tomcat, alcançando a execução remota completa do código. Armado com o SEC_TOKEN, um invasor também pode explorar duas falhas de SSRF (CVE-2025-71258 e CVE-2025-71259) e potencialmente vazar dados internos. As questões foram abordadas em setembro de 2025.
Loader implanta malware C2 furtivo
Hijack Loader descarta SnappyClient
O carregador de malware conhecido como Hijack Loader está sendo usado para fornecer uma estrutura de comando e controle (C2) baseada em C++, anteriormente não documentada, conhecida como SnappyClient. “O SnappyClient tem uma lista extensa de recursos, incluindo captura de tela, keylogging, terminal remoto e roubo de dados de navegadores, extensões e outros aplicativos”, disse Zscaler ThreatLabz. "O SnappyClient emprega várias técnicas de evasão para impedir a detecção de segurança de endpoint, incluindo um desvio da Antimalware Scan Interface (AMSI), bem como a implementação do Heaven's Gate, chamadas diretas do sistema e esvaziamento transacionado. O SnappyClient recebe dois arquivos de configuração do servidor C2, que contêm uma lista de ações a serem executadas quando uma condição especificada é atendida, junto com outra que especifica os aplicativos a serem alvo de roubo de dados." A estrutura foi descoberta pela primeira vez em dezembro de 2025. A cadeia de ataque envolve a distribuição de cargas maliciosas depois que um usuário visita um site que se faz passar pela empresa espanhola de telecomunicações Telefónica. Avalia-se que o uso principal do SnappyClient é o roubo de criptomoedas, com uma possÃvel conexão entre os desenvolvedores do HijackLoader e do SnappyClient com base nas semelhanças de código observadas.
O abuso de link direto permite a execução de comandos
CursorJack abusa de links profundos para execução de comandos
A Proofpoint detalhou uma nova técnica chamada CursorJack que abusa do suporte do Cursor para links profundos do Model Context Protocol (MCP) para permitir a execução de comandos locais ou permitir a instalação de um servidor MCP remoto malicioso. O ataque aproveita o fato de que os servidores MCP normalmente especificam um comando em sua configuração “mcp.json”. “O manipulador de protocolo cursor:// pode ser abusado por meio de engenharia social em configurações especÃficas”, disse a empresa. "Um único clique seguido pela aceitação de um prompt de instalação pelo usuário pode resultar na execução arbitrária de comandos. A técnica pode ser aproveitada tanto para
Algumas delas parecem simples, quase desleixadas, até você ver como funciona bem. Outras partes parecem um pouco práticas demais, como se já estivessem mais próximas do uso no mundo real do que alguém gostaria de admitir. E o ruÃdo de fundo está ficando mais alto novamente, do tipo que as pessoas geralmente ignoram.
Algumas histórias são inteligentes no mau sentido. Outros são frustrantemente evitáveis. No geral, parece que uma pressão silenciosa está aumentando em lugares importantes.
Dê uma olhada ou leia corretamente, mas não pule este.
RaaS emergente explorando falhas do FortiGate
Os senhores RaaS detalhados
O Grupo-IB esclareceu as várias táticas adotadas pelo The Gentlemen, uma operação nascente de Ransomware como serviço (RaaS) que consiste em cerca de 20 membros. Originou-se de uma disputa de pagamento depois que seu operador “hastalamuerte” abriu um tópico de arbitragem pública no fórum de crimes cibernéticos RAMP, acusando os operadores de ransomware Qilin de comissões de afiliados não pagas no valor de US$ 48.000. O grupo usa principalmente CVE-2024-55591, uma vulnerabilidade crÃtica de desvio de autenticação no FortiOS/FortiProxy, para acesso inicial. “O grupo mantém um banco de dados operacional de aproximadamente 14.700 dispositivos FortiGate já explorados em todo o mundo”, afirmou a empresa. “Separados dos dispositivos explorados, as operadoras mantêm 969 credenciais validadas do FortiGate VPN de força bruta, prontas para ataques.” The Gentlemen também emprega evasão de defesa por meio da técnica traga seu próprio driver vulnerável (BYOVD) para encerrar processos de segurança no nÃvel do kernel. Cerca de 94 organizações já foram atacadas por este grupo ameaçador desde o seu surgimento em julho/agosto de 2025.
Cadeia RCE de pré-autenticação na plataforma ITSM
Múltiplas falhas no BMC FootPrints
Quatro falhas de segurança (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259 e CVE-2025-71260) foram divulgadas no BMC FootPrints, uma solução ITSM amplamente implantada, que pode ser encadeada à execução remota de código de pré-autenticação. A sequência de ataque começa com um desvio de autenticação (CVE-2025-71257) que extrai um token de sessão de convidado ("SEC_TOKEN") do endpoint de redefinição de senha, que é então usado para alcançar um coletor de desserialização Java não higienizado (CVE-2025-71260) no parâmetro "__VIEWSTATE" do endpoint "/aspnetconfig". A exploração por meio da cadeia de gadgets AspectJWeaver permite a gravação arbitrária de arquivos no diretório raiz da web do Tomcat, alcançando a execução remota completa do código. Armado com o SEC_TOKEN, um invasor também pode explorar duas falhas de SSRF (CVE-2025-71258 e CVE-2025-71259) e potencialmente vazar dados internos. As questões foram abordadas em setembro de 2025.
Loader implanta malware C2 furtivo
Hijack Loader descarta SnappyClient
O carregador de malware conhecido como Hijack Loader está sendo usado para fornecer uma estrutura de comando e controle (C2) baseada em C++, anteriormente não documentada, conhecida como SnappyClient. “O SnappyClient tem uma lista extensa de recursos, incluindo captura de tela, keylogging, terminal remoto e roubo de dados de navegadores, extensões e outros aplicativos”, disse Zscaler ThreatLabz. "O SnappyClient emprega várias técnicas de evasão para impedir a detecção de segurança de endpoint, incluindo um desvio da Antimalware Scan Interface (AMSI), bem como a implementação do Heaven's Gate, chamadas diretas do sistema e esvaziamento transacionado. O SnappyClient recebe dois arquivos de configuração do servidor C2, que contêm uma lista de ações a serem executadas quando uma condição especificada é atendida, junto com outra que especifica os aplicativos a serem alvo de roubo de dados." A estrutura foi descoberta pela primeira vez em dezembro de 2025. A cadeia de ataque envolve a distribuição de cargas maliciosas depois que um usuário visita um site que se faz passar pela empresa espanhola de telecomunicações Telefónica. Avalia-se que o uso principal do SnappyClient é o roubo de criptomoedas, com uma possÃvel conexão entre os desenvolvedores do HijackLoader e do SnappyClient com base nas semelhanças de código observadas.
O abuso de link direto permite a execução de comandos
CursorJack abusa de links profundos para execução de comandos
A Proofpoint detalhou uma nova técnica chamada CursorJack que abusa do suporte do Cursor para links profundos do Model Context Protocol (MCP) para permitir a execução de comandos locais ou permitir a instalação de um servidor MCP remoto malicioso. O ataque aproveita o fato de que os servidores MCP normalmente especificam um comando em sua configuração “mcp.json”. “O manipulador de protocolo cursor:// pode ser abusado por meio de engenharia social em configurações especÃficas”, disse a empresa. "Um único clique seguido pela aceitação de um prompt de instalação pelo usuário pode resultar na execução arbitrária de comandos. A técnica pode ser aproveitada tanto para
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #boletim #threatsday: #fortigate #raas, #citrix #exploits, #mcp #abuse, #livechat #phish #e #muito #mais
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário