Sign in Subscribe
Newsletter

Pacific News #243: O Olho de Jeddah

Pacific News #243: O Olho de Jeddah

Assunto do momento: Campanha de phishing mira usuários do Gmail e WhatsApp no ​​Oriente Médio

O que aconteceu? Alvos ligados a atividades relacionadas ao Irã receberam mensagens via WhatsApp com links maliciosos. O link levava a:

  • Uma página falsa de login do Gmail, para roubo de senha e código de autenticação em dois fatores; ou
  • Uma página falsa do WhatsApp com um QR code, induzindo a vítima a escanear o código e vincular sua conta a um dispositivo controlado pelo atacante.

O momento da campanha: O Irã enfrenta o maior bloqueio de internet já registrado no país, em meio a protestos antigovernamentais e repressão violenta.

Por que isso importa? A campanha visava roubar credenciais do Gmail e de outras plataformas online, comprometer contas do WhatsApp e realizar vigilância, roubando dados de localização, fotos e gravações de áudio das vítimas.

Quem está por trás? A autoria é desconhecida até o momento.

Hipótese: Pelo acesso a dados sensíveis (localização e mídia), é plausível que o governo iraniano, ou um governo estrangeiro com interesses no Irã esteja tentando monitorar com quem indivíduos influentes se comunicam e sobre o quê.

Forçando a queda do protocolo NTLMv1

A Mandiant lançou um dataset de rainbow tables de NTLMv1, com o objetivo de acelerar a obsolescência deste protocolo. 

Por que isso importa? O Net-NTLMv1 é um protocolo de segurança usado pela Microsoft que é considerado inseguro desde 2012, mas ainda é amplamente utilizado em ambientes de Active Directory. 

O impacto: Com este dataset, um atacante consegue quebrar hashes de senhas obtidas através de ataques de rainbow table (com rcrack ou RainbowCrack-NG, por exemplo). 

Sim, mas: As organizações não podem esperar pela Microsoft e devem desabilitar o uso do protocolo NTLMv1 de forma voluntária, permitindo somente respostas NTLMv2. 

Saiba mais: Resumidamente, atacantes forçam autenticação via Net-NTLMv1 para capturar respostas fracas. Em seguida, eles aguardam conexões ou forçam autenticação com ferramentas como PetitPotam ou DFSCoerce, gerando respostas que podem ser quebradas para obter hashes de senhas de usuários ou contas de máquina.

LinkedIn é alvo de ciberataques

O LinkedIn é hoje uma das maiores bases de informação corporativa do mundo, e isso o torna irresistível para atacantes.

Por que isso importa? A plataforma reúne mais de 1 bilhão de perfis profissionais, com dados suficientes para ataques altamente direcionados, explorando um ponto cego da segurança corporativa.

O ataque: Criminosos coletam informações de perfis públicos e usam perfis falsos ou sequestrados para enviar malware, roubar credenciais e aplicar golpes.

Casos reais: 

  • Lazarus Group: se passaram por recrutadores e enviaram malware a funcionários de uma empresa aeroespacial
  • Scattered Spider: enganou o help desk da MGM, levando a um ataque de ransomware com U$ 100 milhões de prejuízo
  • Ducktail: enviou malware para equipes de marketing e RH com o objetivo de sequestrar contas 

Como se proteger: Compartilhe menos informações, desconfie de mensagens de desconhecidos, ative a autenticação em duas etapas e participe de treinamentos sobre golpes na plataforma.

Papo Rápido

@Ataques

Ingram Micro, gigante da tecnologia, é alvo de ataque de ransomware, afetando 42 mil indivíduos. (Bleeping Computer

Uma falha crítica na plataforma FortiSIEM, CVE-205-64155, está sendo explorada por atacantes para executar código remotamente em ambientes de terceiros. (Dark Reading)

@Patches

A TP-Link corrigiu uma vulnerabilidade grave (CVE-2026-0629) explorada para assumir o controle de mais de 32 modelos de câmeras de vigilância profissionais das séries VIGI C e VIGI InSight. (Security Week)

Cisco corrigiu uma vulnerabilidade crítica de RCE em seus Secure Email Gateways (CVE-2025-20393), explorada por um APT ligado à China. Ataque permitia instalação de backdoors e ferramentas de tunelamento. (TheHackerNews)

@Mundo

A Itália se prepara para receber os Jogos Olímpicos de Inverno e também uma enxurrada de atacantes cibernéticos. Espionagem cibernética, interrupção de infraestrutura e DDoS são os ataques mais esperados. (Dark Reading

Governo do Reino Unido avisa sobre ataques de hacktivistas russos em setores estratégicos, como governos locais e infraestrutura crítica. (Security Affairs)

@Finanças

Na segunda-feira (19), o Pix ficou fora do ar para alguns usuários e afetou bancos como Inter, Nubank, Itaú, Bradesco, Banco do Brasil, Caixa Econômica Federal, C6 Bank, Mercado Pago e Santander. (TechTudo)

O Google aceitou um acordo e pagará cerca de 8.25 milhões de dólares em uma ação coletiva, onde foi acusado de coletar dados de crianças e alvejá-las com anúncios direcionados. (Malwarebytes)

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa

Read more