Hack Alerta - Notícias de Cibersegurança

ClickFix: ataque usa finger.exe e CAPTCHAs falsos para instalar malware

A campanha ClickFix abusa do utilitário finger.exe para recuperar scripts via protocolo finger (TCP 79) quando vítimas executam comandos induzidas por CAPTCHAs falsos. Os atacantes retornam PowerShell codificado que baixa payloads maliciosos. Recomenda‑se bloquear porta 79, monitorar tráfego finger, detectar PowerShell Base64 e educar usuários contra execução manual de comandos.

15/12/2025 10:03 Riscos e Ameaças

NexusRoute: malware Android imita mParivahan e e‑Challan

A campanha NexusRoute usa APKs falsos de mParivahan e e‑Challan distribuídos via páginas e repositórios GitHub para enganar usuários indianos. O malware atua como dropper, solicita permissões perigosas (SMS, acessibilidade) e exfiltra credenciais e OTPs, permitindo transações fraudulentas e vigilância móvel. Usuários e administradores devem evitar APKs fora das lojas oficiais e negar permissões desnecessárias.

15/12/2025 10:03 Riscos e Ameaças

Atlassian corrige falha crítica em Apache Tika

A Atlassian lançou correções para uma vulnerabilidade crítica no Apache Tika que afeta vários produtos (Confluence, Jira, Bitbucket, Bamboo, Crowd, Fisheye/Crucible). A falha pode permitir processamento malicioso de documentos e potencial execução de código em contextos vulneráveis. Administradores devem aplicar os patches oficiais e restringir uploads até mitigação.

15/12/2025 10:02 Riscos e Ameaças

CVE-2025-66430 em Plesk permite escalonamento a root

A falha CVE-2025-66430 em Plesk para Linux permite a injeção de dados na configuração do Apache a partir do recurso Password‑Protected Directories, resultando em escalonamento a root. Versões 18.0.70–18.0.74 e Plesk Onyx estão afetadas; a Plesk publicou micro‑atualizações (ex.: 18.0.73.5, 18.0.74.2). Administradores devem aplicar patches, revisar controles de acesso e monitorar alterações em arquivos de configuração.

15/12/2025 10:01 Riscos e Ameaças

700Credit: vazamento expõe dados sensíveis de 5,8 milhões de pessoas

A provedora 700Credit sofreu um vazamento que expôs nomes, endereços, datas de nascimento e números de Seguro Social de 5,8 milhões de pessoas. Relatos não detalham vetor nem abrangência geográfica; recomenda-se monitoramento de crédito e avaliações de notificação regulatória.

15/12/2025 08:03 Vazamento de dados

Microsoft: atualização causa falhas em Message Queuing (MSMQ)

A atualização KB5071546 (OS Build 19045.6691) da Microsoft endureceu permissões no diretório de storage do MSMQ, causando filas inativas e erros "Insufficient resources" em IIS. A Microsoft reconhece e investiga o problema; recomenda-se testar o patch em staging e revisar permissões NTFS.

15/12/2025 08:02 Riscos e Ameaças

Storm-0249 abusa de EDR via DLL sideloading em ataques precisos

Analistas identificaram que o grupo Storm-0249 evoluiu para initial access broker e usa DLL sideloading em processos de EDR assinados (ex.: SentinelAgentWorker.exe) para permanecer furtivo, estabelecer C2 e preparar acesso para afiliados de ransomware. Recomenda-se análise comportamental e revisão de exclusões do EDR.

15/12/2025 08:01 Cyber ataques

VolkLocker: falha em RaaS permite descriptografar sem pagar

Análise da SentinelOne indica que o RaaS VolkLocker (CyberVolk 2.x) contém artefatos de teste com chave mestra hard‑coded, permitindo descriptografia sem pagamento em amostras afetadas. Origem do RaaS registrada em agosto de 2025.

15/12/2025 05:04 Cyber ataques

Frogblight: novo trojan bancário Android mira usuários na Turquia

Kaspersky identificou Frogblight, um trojan bancário Android em desenvolvimento que usa iscas de processos judiciais e WebView para capturar credenciais. Variantes comunicam com C2 via REST ou WebSocket e apresentam funcionalidades de spyware e exfiltração.

15/12/2025 05:03 Riscos e Ameaças

CISA inclui falha em roteadores Sierra (CVE‑2018‑4063) no catálogo KEV

CISA adicionou CVE‑2018‑4063 (Sierra Wireless AirLink ALEOS) ao catálogo KEV após relatos de exploração ativa. A falha permite upload não restrito de ficheiros perigosos ao servidor web do roteador, potencialmente resultando em RCE; dispositivos EoL/EoS devem ser substituídos.

15/12/2025 05:02 Riscos e Ameaças

RasMan (CVE-2025-59230): exploit usa zero-day para execução como SYSTEM

0patch descreve uma cadeia de exploração que combina CVE‑2025‑59230 (RasMan) com um segundo zero‑day capaz de derrubar o serviço, permitindo registro de endpoint RPC e execução de código como SYSTEM. Microsoft corrigiu a falha principal em outubro de 2025; 0patch liberou micropatches para o vetor de queda.

15/12/2025 05:02 Riscos e Ameaças

Golpe usa assinaturas do PayPal para enviar e-mails de compra falsos

Pesquisadores relataram que golpistas estão abusando do recurso "Subscriptions" do PayPal para disparar e‑mails oficiais com notificações de compra falsas, usando o campo "Customer service URL" para inserir conteúdo enganoso. Não há dados públicos sobre número de vítimas ou IoCs.

14/12/2025 14:00 Riscos e Ameaças

CISA: zero‑day no Windows Cloud Files Mini Filter (CVE‑2025‑62221)

CISA alerta para CVE‑2025‑62221, um use‑after‑free no Windows Cloud Files Mini Filter Driver que permite elevação local de privilégios. A vulnerabilidade foi adicionada ao catálogo KEV com prazo de remediação até 30/12/2025; a orientação é aplicar mitigação e patch imediatos, ou retirar sistemas afetados do uso.

14/12/2025 12:03 Riscos e Ameaças

GeminiJack: exfiltração zero‑click via Gemini Enterprise

GeminiJack explora prompt‑injection em Docs, Calendar e e‑mails para forçar Gemini Enterprise a consultar dados do Workspace e exfiltrá‑los via requisições de imagem sem interação do usuário. Google separou serviços e endureceu tratamento de instruções; recomenda‑se limitar fontes RAG e tratar assistentes como processadores privilegiados.

14/12/2025 12:02 Cloud

React2Shell: RCE em React/Next.js sob exploração ativa

CVE-2025-55182 ("React2Shell") explora desserialização insegura no protocolo React Server Components Flight para RCE em implantações React/Next.js. Campanhas automatizadas usam probes PowerShell e técnicas de bypass do AMSI; defensores devem priorizar patching, monitoria por comandos aritméticos e isolamento de serviços até correção.

14/12/2025 12:01 Cyber ataques