Últimas notícias de cibersegurança

Storm-0249 abusa de EDR via DLL sideloading em ataques precisos

Analistas identificaram que o grupo Storm-0249 evoluiu para initial access broker e usa DLL sideloading em processos de EDR assinados (ex.: SentinelAgentWorker.exe) para permanecer furtivo, estabelecer C2 e preparar acesso para afiliados de ransomware. Recomenda-se análise comportamental e revisão de exclusões do EDR.

15/12/2025 08:01 Cyber ataques

VolkLocker: falha em RaaS permite descriptografar sem pagar

Análise da SentinelOne indica que o RaaS VolkLocker (CyberVolk 2.x) contém artefatos de teste com chave mestra hard‑coded, permitindo descriptografia sem pagamento em amostras afetadas. Origem do RaaS registrada em agosto de 2025.

15/12/2025 05:04 Cyber ataques

Frogblight: novo trojan bancário Android mira usuários na Turquia

Kaspersky identificou Frogblight, um trojan bancário Android em desenvolvimento que usa iscas de processos judiciais e WebView para capturar credenciais. Variantes comunicam com C2 via REST ou WebSocket e apresentam funcionalidades de spyware e exfiltração.

15/12/2025 05:03 Riscos e Ameaças

CISA inclui falha em roteadores Sierra (CVE‑2018‑4063) no catálogo KEV

CISA adicionou CVE‑2018‑4063 (Sierra Wireless AirLink ALEOS) ao catálogo KEV após relatos de exploração ativa. A falha permite upload não restrito de ficheiros perigosos ao servidor web do roteador, potencialmente resultando em RCE; dispositivos EoL/EoS devem ser substituídos.

15/12/2025 05:02 Riscos e Ameaças

RasMan (CVE-2025-59230): exploit usa zero-day para execução como SYSTEM

0patch descreve uma cadeia de exploração que combina CVE‑2025‑59230 (RasMan) com um segundo zero‑day capaz de derrubar o serviço, permitindo registro de endpoint RPC e execução de código como SYSTEM. Microsoft corrigiu a falha principal em outubro de 2025; 0patch liberou micropatches para o vetor de queda.

15/12/2025 05:02 Riscos e Ameaças

Golpe usa assinaturas do PayPal para enviar e-mails de compra falsos

Pesquisadores relataram que golpistas estão abusando do recurso "Subscriptions" do PayPal para disparar e‑mails oficiais com notificações de compra falsas, usando o campo "Customer service URL" para inserir conteúdo enganoso. Não há dados públicos sobre número de vítimas ou IoCs.

14/12/2025 14:00 Riscos e Ameaças

CISA: zero‑day no Windows Cloud Files Mini Filter (CVE‑2025‑62221)

CISA alerta para CVE‑2025‑62221, um use‑after‑free no Windows Cloud Files Mini Filter Driver que permite elevação local de privilégios. A vulnerabilidade foi adicionada ao catálogo KEV com prazo de remediação até 30/12/2025; a orientação é aplicar mitigação e patch imediatos, ou retirar sistemas afetados do uso.

14/12/2025 12:03 Riscos e Ameaças

GeminiJack: exfiltração zero‑click via Gemini Enterprise

GeminiJack explora prompt‑injection em Docs, Calendar e e‑mails para forçar Gemini Enterprise a consultar dados do Workspace e exfiltrá‑los via requisições de imagem sem interação do usuário. Google separou serviços e endureceu tratamento de instruções; recomenda‑se limitar fontes RAG e tratar assistentes como processadores privilegiados.

14/12/2025 12:02 Cloud

React2Shell: RCE em React/Next.js sob exploração ativa

CVE-2025-55182 ("React2Shell") explora desserialização insegura no protocolo React Server Components Flight para RCE em implantações React/Next.js. Campanhas automatizadas usam probes PowerShell e técnicas de bypass do AMSI; defensores devem priorizar patching, monitoria por comandos aritméticos e isolamento de serviços até correção.

14/12/2025 12:01 Cyber ataques

7 plataformas de treinamento de segurança para MSPs

Análise das funções e limitações de sete plataformas de security awareness voltadas a MSPs (Phin Security, BullPhish ID, SafeTitan, Hoxhunt, INFIMA, Wizer e IRONSCALES). O levantamento destaca automação de onboarding, simulações de phishing, personalização por IA e integração com PSA/APIs. Faltam, porém, métricas independentes de eficácia e detalhes precisos de preço e tratamento de dados.

14/12/2025 10:00 Mercado

CISA inclui zero‑day CVE‑2025‑14174 em Chromium explorado em ataque

CISA incluiu CVE‑2025‑14174, zero‑day no ANGLE do Chromium, no KEV; NVD apontou CVSS 8.8. Correções já foram liberadas (Chrome 131.0.6778.201+, Edge 131.0.3139.95+) e não há IoCs públicos divulgados.

13/12/2025 12:01 Riscos e Ameaças

Empire 6.3.0 amplia arsenal para red teams e pentesters

BC Security lançou o Empire 6.3.0, que amplia suporte a agentes (PowerShell, Python, C#, Go), incorpora GUI Starkiller e técnicas de evasão (JA3/S, JARM) e expande a biblioteca de módulos para exercícios ofensivos.

13/12/2025 12:01 Tendências

CISA inclui falha em roteadores Sierra Wireless explorada ativamente

A CISA incluiu a falha CVE-2018-4063, que permite upload de arquivos sem restrição e pode levar a execução remota de código, no catálogo Known Exploited Vulnerabilities. Relatos apontam exploração ativa contra roteadores Sierra Wireless AirLink. Não há detalhes sobre modelos afetados ou mitigação no relato consultado; equipes devem checar CISA e fabricante.

13/12/2025 10:00 Riscos e Ameaças

Luca Stealer em Rust atinge Linux e Windows

Pesquisadores divulgaram o "Luca Stealer", um infostealer escrito em Rust com binários para Linux e Windows. O código público e artefatos de compilação permitem extração de indicadores (hash e strings), mas vetor de distribuição, alcance e vítimas permanecem desconhecidos.

13/12/2025 06:00 Riscos e Ameaças

Campanha 'MoneyMount-ISO' usa ISOs para espalhar Phantom Stealer

Pesquisadores identificaram a campanha 'Operation MoneyMount-ISO', que entrega o infostealer Phantom por meio de arquivos ISO auto-montáveis anexados em e-mails de confirmação de pagamento. O ataque foca equipes financeiras, utiliza execução em memória via DLLs e exfiltra dados por Telegram, Discord e FTP. Recomenda-se bloquear anexos containerizados, desabilitar montagem automática de ISOs e reforçar detecções EDR.

13/12/2025 05:01 Riscos e Ameaças