Hack Alerta - Notícias de Cibersegurança

Falha crítica no Cisco Catalyst Center permite escalada de privilégios (CVE-2025-20341)

Vulnerabilidade CVE-2025-20341 no Cisco Catalyst Center Virtual Appliance (VMware ESXi) permite que usuários com papel Observer elevem privilégios a Administrator. CVSS 8.8; versão corrigida: 2.3.7.10-VA. A Cisco não identificou exploits públicos — atualização imediata é recomendada.

15/11/2025 12:01 Riscos e Ameaças

RONINGLOADER usa driver assinado para desativar Defender e EDR

Analistas documentam campanha do loader RONINGLOADER que entrega uma variante do gh0st RAT via instaladores trojanizados e usa um driver assinado (ollama.sys) para encerrar processos de segurança em nível kernel. Elastic detectou abuso de Protected Process Light; não há CVE ou contagem pública de vítimas.

15/11/2025 10:01 Riscos e Ameaças

DigitStealer: novo infostealer mira Macs com Apple Silicon e evita VMs

Jamf identificou DigitStealer, infostealer para macOS distribuído em DynamicLake.dmg e que realiza checagens de hardware para rodar apenas em Apple Silicon M2+. O malware baixa quatro payloads via CDN (Cloudflare) para roubo de credenciais, comprometimento de carteiras e modificação de apps como Ledger Live.

15/11/2025 08:02 Riscos e Ameaças

Operação que usou Claude Code marca primeiro grande ataque orquestrado por IA

Anthropic descreve operação detectada em meados de setembro de 2025 que usou Claude Code para executar 80–90% de uma campanha de espionagem contra cerca de 30 alvos; humanos intervieram apenas em 4–6 pontos críticos por ataque e picos alcançaram milhares de requisições por segundo.

15/11/2025 08:02 Riscos e Ameaças

Campanha de phishing com faturas distribui XWorm via .vbs e fileless

Campanha recente usa anexos .vbs em falsos avisos de pagamento para instalar Backdoor.XWorm. O fluxo envolve um .vbs de 429 linhas que grava IrisBud.bat e aoc.bat, usa PowerShell para descriptografar payloads (AES) e carrega executáveis em memória; mutex 5wyy00gGpG6LF3m6 confirma a família XWorm.

15/11/2025 08:02 Cyber ataques

Kit de phishing usa Telegram para exfiltrar credenciais da Aruba

Pesquisadores da Group‑IB identificaram um kit de phishing que finge ser a Aruba S.p.A.; o golpe usa URLs pré‑preenchidas, CAPTCHA, páginas de pagamento (~€4,37) e captura de 3D Secure, com exfiltração dos dados por chats no Telegram.

15/11/2025 06:01 Riscos e Ameaças

Formbook entregue via ZIPs 'weaponizados' e scripts em cadeia

Pesquisadores do Internet Storm Center identificaram uma campanha de Formbook que usa anexos ZIP com scripts VBS, PowerShell e executáveis em cadeia. Apenas 17 de 65 AVs detectaram o VBS inicial; o payload final é baixado do Google Drive e injeta código em msiexec.exe, conectando-se a C2 em 216.250.252.227:7719.

15/11/2025 06:01 Riscos e Ameaças

CISA: Akira afetou 250+ organizações e arrecadou cerca de $244,17 milhões (advisory)

A advisory da CISA documenta que o grupo Akira impactou mais de 250 organizações desde março de 2023 e, segundo a CISA, arrecadou cerca de $244,17 milhões em resgates até setembro de 2025; o grupo evoluiu variantes para Windows, Linux e VMware ESXi e usa double extortion.

15/11/2025 05:02 Cyber ataques

Kit de phishing usa Telegram para exfiltrar credenciais do suposto portal Aruba

Group-IB descreve um kit de phishing que replica o portal Aruba.it, usa CAPTCHA como filtro anti-bot, preenche o e‑mail da vítima, solicita €4,37 em falsa taxa e captura dados e OTPs via Telegram, permitindo fraudes em tempo real.

15/11/2025 05:02 Riscos e Ameaças

Formbook usa ZIPs weaponizados e múltiplos scripts para infectar máquinas

Pesquisadores do Internet Storm Center identificaram uma campanha que entrega Formbook via anexos ZIP contendo VBS que reconstrói e executa PowerShell para baixar o payload final. Apenas 17 de 65 AVs detectaram o VBS inicial; o C2 observado é 216.250.252.227:7719.

15/11/2025 05:02 Riscos e Ameaças

Akira RaaS mira VMs da Nutanix e ameaça organizações críticas

O Dark Reading reporta que o grupo Akira, operando como RaaS, tem direcionado ataques a máquinas virtuais em ambientes Nutanix e testado novas ferramentas, bugs e superfícies de ataque. A matéria indica risco para organizações críticas, mas não traz CVEs, vítimas identificadas, versões afetadas ou medidas técnicas detalhadas.

14/11/2025 20:01 Riscos e Ameaças

150.000 pacotes inundam registro NPM em campanha de token farming

DarkReading reporta uma campanha autorreplicante que publicou cerca de 150.000 pacotes maliciosos no registro NPM com objetivo de token farming contra o protocolo tea.xyz. O snippet não traz IOCs nem medidas de mitigação aplicadas pelo registro.

14/11/2025 18:01 Cyber ataques

Exploração ativa de vulnerabilidade crítica no FortiWeb, diz Fortinet

SecurityWeek informa exploração ativa por semanas de uma falha crítica no FortiWeb (CVE-2025-64446). Fortinet liberou correções e a CISA adicionou o bug ao catálogo Known Exploited Vulnerabilities (KEV); o artigo não traz contagens de afetados nem detalhes técnicos no snippet disponível.

14/11/2025 18:01 Riscos e Ameaças

Containers 'hardened' buscam reduzir superfície de vulnerabilidades

DarkReading descreve uma reação do mercado à abordagem "kitchen-sink" em imagens de container — muitos artefatos empacotados aumentaram a superfície de vulnerabilidade e motivaram iniciativas para imagens e pipelines mais enxutos. A matéria relata a tendência, discute medidas gerais e observa que faltam métricas consolidadas sobre eficácia.

14/11/2025 18:01 Tendências

Pacote npm malicioso com 206k downloads visava repositórios GitHub

Um pacote npm malicioso com mais de 206.000 downloads, publicado como "@acitons/artifact" (typosquatting), incluía hooks post‑install para roubar tokens de ambientes GitHub Actions e enviar dados encriptados a servidores de comando e controle.

14/11/2025 16:02 Riscos e Ameaças