Hack Alerta - Notícias de Cibersegurança

ShadowRay 2.0: invasão de clusters Ray transforma GPUs em botnet de mineração

Pesquisa citada pelo The Hacker News relata campanha chamada ShadowRay 2.0 que explora uma falha de dois anos no framework open-source Ray para transformar clusters com GPUs NVIDIA em um botnet autorreplicante de mineração de criptomoeda. Trata‑se de uma evolução de uma onda observada entre set/2023 e mar/2024; as fontes não detalham CVE, contagem de vítimas ou versões afetadas.

20/11/2025 16:01 Riscos e Ameaças

Sturnus: novo trojan bancário Android mira mensagens de WhatsApp, Telegram e Signal

Relatórios descrevem o trojan bancário Sturnus em desenvolvimento, direcionado a Android e com foco aparente em interceptar mensagens de WhatsApp, Telegram e Signal. A cobertura indica alvo na Europa, mas não fornece vetores, capacidades técnicas ou IOCs confirmados.

20/11/2025 14:01 Riscos e Ameaças

CVE-2025-50165: falha crítica no Windows Graphics permite RCE via JPEG

Pesquisadores da Zscaler identificaram a CVE-2025-50165, uma falha crítica (CVSS 9.8) no Windows Graphics Component (windowscodecs.dll) que permite execução remota via JPEGs forjados. A Microsoft publicou correção em 12/08/2025 (builds 10.0.26100.4851 → 10.0.26100.4946). A exploração pode ocorrer sem interação do usuário, por anexos ou previews; não há relatos de exploração em campo até o momento.

20/11/2025 14:01 Riscos e Ameaças

Oracle E‑Business Suite: zero‑day CVE‑2025‑61882 e impacto em dezenas de organizações

Exploração de CVE‑2025‑61882 (CVSS 9.8) permitiu execução remota pré‑autenticada em Oracle E‑Business Suite (12.2.3–12.2.14). Ataques rastreados desde julho de 2025 resultaram em vazamentos e extorsão atribuídos ao Clop/FIN11; Oracle liberou patch emergencial em 4 de outubro de 2025 e CISA listou a falha no KEV em 6 de outubro.

20/11/2025 12:03 Cyber ataques

TamperedChef: apps assinados com EV são usados para entregar backdoors

A campanha TamperedChef distribui instaladores falsos assinados com certificados EV comprados por shell companies para entregar backdoors. A operação usa SEO e malvertising para atrair vítimas, cria uma tarefa agendada via task.xml e executa JavaScript ofuscado como payload, mantendo persistência e permitindo execução remota.

20/11/2025 12:03 Riscos e Ameaças

Cinco variantes de ransomware miram buckets Amazon S3 e abusam de configurações

Pesquisadores da Trend Micro documentaram cinco variantes de ransomware que atacam buckets Amazon S3 explorando credenciais roubadas, permissões excessivas e configurações inseguras (desativação de versioning, ausência de Object Lock). Uma técnica particularmente perigosa usa SSE‑C (Server‑Side Encryption with Customer‑Provided Keys), criando dados irrecuperáveis quando a chave do atacante é usada para criptografar objetos.

20/11/2025 12:03 Cloud

Tsundere: botnet usa npm e smart contracts Ethereum para C2

Pesquisadores relatam o botnet Tsundere, que combina pacotes npm maliciosos, instaladores disfarçados e smart contracts Ethereum para armazenar e rotear endereços de C2. O malware instala runtime Node.js legítimo, usa pm2 para persistência e pacotes como ws e ethers para comunicação via WebSocket. A técnica torna bloqueios baseados em IPs ineficazes e amplia risco em ambientes de desenvolvimento e endpoints.

20/11/2025 12:03 Riscos e Ameaças

Cadeia de falhas no N-able N-central permite leitura de arquivos sensíveis e já recebeu correção

Horizon3.ai descreve uma cadeia de vulnerabilidades em N‑able N‑central (CVE‑2025‑9316 e CVE‑2025‑11700) que permite bypass de autenticação, leitura de arquivos e exfiltração de segredos. N‑able lançou a versão 2025.4.0.9 em 05/11/2025 para mitigar os endpoints SOAP legados; organizações devem atualizar e rotacionar credenciais expostas.

20/11/2025 10:02 Vazamento de dados

Campanha global HackOnChat abusa de páginas de autenticação falsas no WhatsApp Web

A CTM360 mapeou a campanha HackOnChat, que utiliza páginas de autenticação falsas e engenharia social para sequestrar contas do WhatsApp via WhatsApp Web. Investigadores identificaram milhares de URLs maliciosas, com alcance global declarado; as fontes não informam números de vítimas confirmadas.

20/11/2025 10:02 Cyber ataques

Vulnerabilidade que permitia listar 3,5 bilhões de contas do WhatsApp já foi corrigida, dizem pesquisadores

Pesquisadores demonstraram uma falha de enumeração que poderia permitir a raspagem de identificadores de até 3,5 bilhões de contas do WhatsApp; segundo o SecurityWeek, a vulnerabilidade já foi corrigida, mas expõe riscos de engenharia social e campanhas em larga escala.

20/11/2025 10:02 Vazamento de dados

Venda alegada de 0-day para Microsoft Office preocupa comunidade

Um anúncio em fórum clandestino afirma a venda de um zero‑day RCE com escape de sandbox para Microsoft Office por US$30.000. A oferta, atribuída ao ator “Zeroplayer”, permanece não verificada publicamente; se verdadeira, permitiria execução arbitrária via documentos e neutralizaria uma camada crítica de proteção do Office.

20/11/2025 10:02 Riscos e Ameaças

NSA e parceiros publicam orientação para ISPs combaterem 'bulletproof hosting'

NSA, em parceria com CISA, FBI e parceiros internacionais, publicou orientação operacional para ISPs e defensores de rede visando mitigar riscos de bulletproof hosting, recomendando KYC mais rígido, curadoria de blocklists, filtragem granular e análise de tráfego por anomalias.

20/11/2025 08:02 Tendências

Ollama: falha em parser de modelos permite execução remota; corrige em 0.7.0

Auditoria da SonarSource encontrou Out‑Of‑Bounds Write no parser de modelos mllama do Ollama, permitindo RCE via arquivos GGUF maliciosos; a correção foi lançada na versão 0.7.0, que reescreveu o componente vulnerável em Go.

20/11/2025 08:02 Riscos e Ameaças

Kaspersky descreve Tsundere: botnet Node.js que usa contratos Ethereum para C2

Kaspersky GReAT descreve o Tsundere, botnet Node.js distribuído via MSI e PowerShell que usa um smart contract Ethereum para publicar endereços WebSocket de C2; o ecossistema inclui painel com marketplace e builds, e IoCs (IPs, hashes) estão listados no relatório.

20/11/2025 08:02 Cyber ataques

Análise do loader do Rhadamanthys revela técnicas avançadas de anti‑sandbox

Análise técnica do loader do stealer Rhadamanthys revela anti‑sandbox comportamental (monitoramento do cursor e janelas por 45s), flattening do fluxo de controle, codificação "Flutter" e criptografia SM4; sandboxes avançadas como CAPE e VMRay podem acionar o payload quando corretamente configuradas.

20/11/2025 08:02 Cyber ataques