Hack Alerta - Notícias de Cibersegurança

ClickFix: falsa tela de Windows Update e esteganografia em PNG para carregar stealers

Clusters ClickFix usam uma falsa tela de Windows Update e um loader .NET que esconde shellcode em pixels de PNG para entregar info-stealers (LummaC2, Rhadamanthys). IoCs incluem 141.98.80[.]175 e domínios como securitysettings[.]live; mitigação inclui desabilitar Run e monitorar EDR.

25/11/2025 05:02 Cyber ataques

CISA alerta para campanhas que usam spyware comercial contra usuários de Signal e WhatsApp

A CISA emitiu um alerta sobre campanhas ativas que usam spyware comercial e RATs para comprometer usuários de Signal e WhatsApp via engenharia social direcionada; a agência recomenda controles móveis reforçados e monitoramento de sinais de comprometimento.

25/11/2025 05:02 Riscos e Ameaças

Canon diz que subsidiária foi afetada por invasão ligada à campanha Oracle EBS

A Canon confirmou que uma subsidiária foi afetada por uma campanha relacionada ao Oracle E-Business Suite; reportagens indicam que mais de 100 vítimas foram adicionadas ao site do grupo Cl0p, mas não há detalhes públicos sobre vetores ou dados exfiltrados.

25/11/2025 05:02 Vazamento de dados

Microsoft: RCE em Update Health Tools permite execução remota de código

Pesquisadores da Eye Security descobriram uma RCE no Microsoft Update Health Tools (versão 1.0/Kb4023057) que buscava configurações em Azure Blob com nomes previsíveis; contas não registradas foram ocupadas e geraram 544.000 requisições em sete dias, permitindo execução de bins assinados via ação ExecuteTool.

25/11/2025 05:02 Riscos e Ameaças

Worm Shai-hulud ressurge com variante que executa código em preinstall

DarkReading reporta ressurgimento do worm Shai‑hulud com uma nova variante que "executes malicious code during preinstall", segundo pesquisadores. A mudança amplia o risco para pipelines de build, imagens e artefatos de supply chain. A cobertura não traz indicadores técnicos ou escala da campanha.

24/11/2025 20:01 Riscos e Ameaças

Falha crítica em Oracle Identity Manager (CVE-2025-61757) em exploração

DarkReading relata exploração ativa de CVE-2025-61757 em Oracle Identity Manager. O texto lembra incidentes prévios envolvendo Oracle Cloud e uma campanha de extorsão a clientes do E‑Business Suite. A cobertura disponível não traz versões afetadas nem orientações de mitigação detalhadas; recomenda-se seguir advisories oficiais da Oracle e auditar instâncias.

24/11/2025 20:01 Riscos e Ameaças

ShadowRay 2.0 transforma clusters de IA em botnets de cripto

Pesquisadores relatam que a campanha ShadowRay 2.0 explora uma falha no Ray framework para comprometer clusters de IA globalmente, distribuindo um botnet autorreplicante que combina cryptomining e roubo de dados. O texto não traz CVE, métricas nem indicadores técnicos detalhados; recomendações iniciais incluem auditoria de nós Ray, segmentação e monitoramento de telemetria.

24/11/2025 20:01 Riscos e Ameaças

Vision language models impulsionam segurança física de empresas

Reportagem da DarkReading aponta que avanços em vision language models ampliaram capacidades de raciocínio e começam a ser aplicados na proteção da segurança física de empregados. A matéria descreve a tendência, mas não detalha fornecedores, métricas ou implantações.

24/11/2025 18:01 Tendências

Cinco falhas em Fluent Bit podem ser encadeadas para RCE e invasões em infra de nuvem

Oligo Security relatou cinco vulnerabilidades em Fluent Bit que, se encadeadas, permitem bypass de autenticação, path traversal, RCE, DoS e manipulação de tags — riscos críticos para ambientes de nuvem que usam o agente para coleta de logs e telemetria.

24/11/2025 14:02 Cloud

Sha1‑Hulud ressurge e compromete 800+ pacotes npm e dezenas de milhares de repositórios

A variante “The Second Coming” do Sha1‑Hulud comprometeu 800+ pacotes npm e criou ~26.300 repositórios GitHub para armazenar segredos exfiltrados; a campanha usa o runtime Bun para evasão e inclui um wiper que apaga o diretório home se não conseguir exfiltrar dados.

24/11/2025 14:02 Cyber ataques

CISA adiciona CVE-2025-61757 (Oracle Identity Manager) à lista de exploração conhecida

A CISA adicionou CVE‑2025‑61757 (Oracle Identity Manager) ao seu catálogo Known Exploited Vulnerabilities, sinalizando exploração ativa. Equipes que usam Oracle Identity Manager devem priorizar busca por advisories oficiais, aplicação de patches e mitigação compensatória enquanto investigam possíveis impactos.

24/11/2025 14:02 Riscos e Ameaças

PoC pública para W3 Total Cache (CVE-2025-9501) expõe >1M de sites a RCE

PoC pública para CVE‑2025‑9501 demonstra uma command‑injection pré‑autenticação no W3 Total Cache; a exploração exige conhecer W3TC_DYNAMIC_SECURITY, ter page caching ativo e permitir comentários anônimos, e pode levar a RCE em sites WordPress — plugin tem >1M de instalações.

24/11/2025 14:02 Vazamento de dados

Campanha via WhatsApp usa sessões autenticadas para espalhar trojans bancários no Brasil

Pesquisadores da K7 Security Labs identificaram uma campanha que usa e‑mails de phishing para instalar componentes Python/Selenium e, em seguida, automatizar sessões autenticadas do WhatsApp Web para colher contatos e propagar trojans bancários entre usuários no Brasil. A cadeia emprega MSI/AutoIt para persistência e execução de payloads em memória quando detecta aplicações financeiras.

24/11/2025 14:02 Riscos e Ameaças

EtherHiding: payloads em smart contracts e iscas de 'fake CAPTCHA' para instalação manual

EtherHiding usa smart contracts na Binance Smart Chain testnet para hospedar e rotacionar payloads, combinado a fake CAPTCHAs que induzem vítimas a colar comandos no terminal; contratos identificados controlam entrega por cookie e permitem mudar payloads sem tocar o site comprometido.

24/11/2025 12:02 Riscos e Ameaças

Pacote malicioso no PyPI já teve ~950 downloads e rouba dados de criptomoedas

Pesquisadores encontraram um pacote malicioso no PyPI que imita o pyspellchecker e, via um índice codificado, baixa um RAT para extrair credenciais e dados de carteiras de criptomoedas; até o momento o artefato teve cerca de 950 downloads. Recomendações incluem auditoria de dependências e bloqueio de infraestrutura de C2.

24/11/2025 12:02 Riscos e Ameaças