Sign in Subscribe
Newsletter

PacificNews#181: Meias Verdades

PacificNews#181: Meias Verdades

Existem mais formas de mentir do que somente contar algo que não é verdadeiro. 

A omissão da verdade é uma forma sorrateira de ludibriar um interlocutor, afinal, você não está contando algo mentiroso, mas também não está sendo verdadeiramente honesto.

As meias-verdades podem parecer inocentes em um primeiro momento, mas lembre-se: toda declaração parcialmente verdadeira também é parcialmente falsa.

Esta é a edição número 181 da Pacific News, “Meias Verdades”, onde aprenderemos mais sobre ter desconfiança sobre tudo aquilo que vemos – nem sempre tudo que reluz é ouro. Veremos sobre uma versão modificada do aplicativo Salesforce para roubar dados e extorquir empresas. Também entenderemos mais sobre o novo malware mobile Crocodilus, que já faz vítimas no Brasil. Esperamos que gostem desta edição e tenham uma ótima leitura!

Ciberatacantes abusam de aplicativo Salesforce modificado para roubar dados e extorquir empresas

Agentes maliciosos, rastreados pelo Google Threat Intelligence Group como UNC6040, têm usado uma versão modificada de um aplicativo relacionado ao Salesforce — o Data Loader, ferramenta proprietária para importação de dados em massa em ambientes do Salesforce — para enganar funcionários de empresas na Europa e nas Américas. Como? As vítimas são induzidas a instalar a versão maliciosa, o que resulta no roubo de grandes volumes de dados e no acesso não autorizado a outros serviços corporativos em nuvem.

A campanha utiliza chamadas de voz para convencer os funcionários a acessar uma página falsa de configuração de aplicativo vinculada ao Salesforce, onde são levados a aprovar a versão adulterada do Data Loader, criada pelos criminosos para simular a ferramenta legítima.

Em um alerta recente, a Mandiant, divisão do Google, destacou: “Organizações, vocês estão preparadas para phishing de voz? O UNC6040 é um grupo de ameaças com motivação financeira, especializado em vishing para comprometer instâncias do Salesforce, resultando em roubo de dados em larga escala.”

Cerca de 20 organizações foram afetadas pela campanha do UNC6040 nos últimos meses, com um subconjunto delas tendo seus dados exfiltrados com sucesso. Um porta-voz da Salesforce afirmou à Reuters por e-mail: “Não há evidências de que o problema descrito seja resultado de qualquer vulnerabilidade inerente à nossa plataforma.”

No mês passado, ciberatacantes acessaram e vazaram 64 GB de dados da Coca-Cola Europacific Partners, uma das maiores distribuidoras da marca, sediada no Reino Unido. Suspeita-se que os invasores tenham obtido os dados por meio da conta Salesforce da empresa. A campanha de vishing pode ter sido o vetor inicial do ataque.

Leia mais

Crocodilus: o novo trojan para celular está mirando o seu bolso

Um novo malware para dispositivos Android foi descoberto recentemente. Chamado Crocodilus, este trojan está fazendo vítimas na Europa e na América do Sul – incluindo o Brasil – e tem como principais objetivos roubar informações bancárias e de carteiras de criptomoedas. 

De acordo com os pesquisadores da ThreatFabric, responsáveis por identificar este trojan, o Crocodilus usa técnicas avançadas de ofuscação e é bastante eficiente na evasão de mecanismos de defesa, inclusive, podendo criar novos contatos na agenda de contatos de suas vítimas. 

Suas primeiras aparições se deram na Turquia e Espanha, onde o Crocodilus personificava aplicativos legítimos, como o navegador Google Chrome. Mas, assim como sua presença global aumentou, ele também ganhou novas formas de enganar suas vítimas. Novas campanhas começam a aparecer em diversas partes do mundo, como Argentina, Brasil, Índia, Indonésia e Estados Unidos.  Além disso, o malware continua em pleno desenvolvimento, com novas funcionalidades sendo observadas em diferentes infecções, indicando que seus operadores continuam na manutenção do Crocodilus.

Uma vez que um dispositivo é infectado, ele consegue executar ataques de overlays, sobrepondo-se a telas de aplicativos bancários variados e coletando credenciais de usuários. Além disso, ele é capaz de abusar de serviços de acessibilidade do Android para capturar frases associadas com carteiras de criptomoedas – permitindo que estas sejam completamente drenadas. 

De acordo com um porta-voz da Google, não foram identificados aplicativos na Google Play infectados com este malware, indicando que usuários estão protegidos por padrão através do Google Play Protect. Ou seja, vale o alerta; não baixem aplicativos de fontes desconhecidas, nem tampouco desabilitem as proteções do Google Play Protect.

Leia mais

Patches & Updates

HPE
A Hewlett Packard Enterprise (HPE) lançou atualizações de segurança para corrigir oito vulnerabilidades em sua solução de backup e desduplicação de dados StoreOnce: CVE-2025-37089 (Execução Remota de Código); CVE-2025-37090 (Falsificação de Solicitação do Lado do Servidor); CVE-2025-37091 (Execução Remota de Código); CVE-2025-37092 (Execução Remota de Código); CVE-2025-37093 (Bypass de Autenticação); CVE-2025-37094 (Exclusão Arbitrária de Arquivos por Travessia de Diretório); CVE-2025-37095 (Divulgação de Informações por Travessia de Diretório); CVE-2025-37096 (Execução Remota de Código). As falhas podem resultar em desvio de autenticação e execução remota de código.

OpenAI
Uma ordem judicial obrigou a OpenAI a preservar o log do ChatGPT de todos os seus usuários, incluindo chats deletados e os feitos através da API corporativa. A alegação para esta obrigação de fazer? Um processo de organizações de notícias alegando que a empresa de inteligência artificial está destruindo evidências. A OpenAI, por outro lado, alega que esta ordem é baseada em um palpite e não há justa causa em sua fundamentação legal, entendendo que a privacidade dos seus usuários deve prevalecer. Além disso, para a companhia, o risco de um vazamento de dados afetar seus clientes e romper acordos de privacidade é muito maior do que o risco de não manter estas conversas em suas bases. A discussão parece estar longe de acabar, com a OpenAI prometendo “lutar até o fim” para manter o seu direito de não preservar as conversas. 

Solar
Estudo baseado no mecanismo de busca Shodan revelou que cerca de 35.000 sistemas de energia solar de 42 fornecedores (dentre eles, SMA Solar Technology, Fronius International, Solare Datensysteme, Contec, Sungorw, Kostal Solar, Growatt) apresentaram interfaces de gerenciamento expostas, incluindo dispositivos como inversores, registradores de dados, monitores, gateways e outros. Vale lembrar que cerca de 800 dispositivos SolarView Compact “foram sequestrados no Japão no ano passado e usados ​​para roubo de contas bancárias”, de acordo com um dos pesquisadores. Como muitos dispositivos permanecem sem patches ou expostos online, eles têm o potencial de serem sequestrados por agentes de ameaças e servirem como pontos de acesso iniciais a redes confidenciais.

Privacidade
A Apple forneceu a governos ao redor do mundo dados relacionados a milhares de “notificações push” enviadas a seus dispositivos. Estas notificações são alertas que um site ou aplicativo enviam para o seu dispositivo, aparecendo na tela principal ou na central de notificações – mesmo quando o aplicativo não está aberto. Estas notificações permitem identificar um dispositivo específico ou até mesmo incluir conteúdos não criptografados – como o próprio texto da notificação. Estes dados começaram a ser pedidos desde 2023 e os governos fazem pedidos por estas notificações em lote. Israel já chegou a pedir, em uma única requisição, dados de 700 notificações. Os Estados Unidos já fizeram mais de 99 requisições referentes a mais de 345 tokens de notificações push. E o Reino Unido já fez mais de 123 requisições sobre 128 tokens.

Destaques pelo mundo

AT&T
Agentes maliciosos vazaram o que alegam ser o banco de dados da AT&T, que teria sido roubado pelo grupo ShinyHunters em abril de 2024, após explorarem credenciais roubadas sem autenticação multifator para se infiltrar na plataforma de dados em nuvem Snowflake. O conteúdo exposto inclui nomes completos, datas de nascimento, números de telefone, endereços de e-mail, endereços físicos e 43.989.219 números de Seguro Social (SSNs). De acordo com a Wired, a AT&T teria realizado o pagamento de um resgate para que o grupo malicioso apagasse os dados.

Africa
Organizações africanas estão, cada vez mais, sentindo na pele um aumento nos crimes cibernéticos. A ideia, então, é buscar treinamento em cibersegurança. O Programa de Desenvolvimento das Nações Unidas (UNDP) juntou esforços e expandiu o programa Tech4Peace para jovens adultos na África Ocidental e Central, levando conhecimentos em segurança da informação para cerca de 500 alunos nestas regiões. Apesar da dificuldade de encontrar profissionais na área ser algo global, a África demonstra ter um problema mais agudo nesta questão. Por outro lado, na África Oriental as empresas estão se adaptando aos riscos, com 74% das organizações identificando que riscos cibernéticos são sua prioridade número 1 – para efeitos de comparação, este número fica na casa de 57% globalmente. 

China
Autoridades do sul da China ofereceram recompensas de mais de US$1.000 pela prisão de 20 pessoas que, segundo elas, seriam ciberatacantes militares taiwaneses. Eles estariam envolvidos na organização, planejamento e premeditação de ataques a setores-chave como militar, aeroespacial, departamentos governamentais, energia e transporte, assuntos marítimos, empresas de pesquisa científica e tecnológica na China, bem como em Hong Kong e Macau, informou a agência de notícias Xinhua. O Ministério da Defesa de Taiwan alegou que não estava realizando nenhum “ataque cibernético corporativo” e que as ofertas de recompensa da China destacaram “a atitude rude e irracional dos comunistas chineses em intimidar e coagir o povo taiwanês”.

EUA
A gigante companhia de mídia americana, Lee Enterprises, que faz mais de 350 publicações semanais em mais de 25 estados americanos diferentes, revelou que um ataque cibernético ocasionado em 2025 resultou em um vazamento de dados que afetou mais de 40.000 indivíduos. Segundo a organização, o incidente se tratou de um ataque de ransomware que paralisou suas aplicações críticas, resultando em interrupção de serviços e exposição dos dados pessoais de mais de 39779 pessoas. Aos indivíduos afetados, a Lee Enterprise ofereceu 12 meses grátis de serviços de proteção de identidade e monitoramento de crédito. A autoria do ransomware foi atribuída ao grupo Qilin.

Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Diretor de arte: George Lopes

Read more