Pacific News #255: O Sicário
Assunto do momento: Vorcaro usou técnica de cibercrime para roubar senhas de funcionários do Ministério Público
O que aconteceu? A Polícia Federal revelou indícios contundentes de que o banqueiro Daniel Vorcaro e sua equipe usaram “spear phishing” para roubar senhas de funcionários do Ministério Público Federal, invadir o sistema do órgão e obter acesso a documentos de investigações sigilosas, inclusive de organismos internacionais como a Interpol e o FBI.
A técnica: Envio de e-mails ou outras formas de comunicação para funcionários do Ministério Público com aparência de legitimidade, solicitando a inserção de dados de acesso e senha do sistema interno da instituição.
Contexto: A suspeita surgiu a partir de diálogos do banqueiro que indicariam a contratação de cibercriminosos e a encomenda desses serviços para a invasão dos sistemas.
Por que isso importa? Esse foi um dos motivos para o ministro do Supremo Tribunal Federal (STF), André Mendonça, decretar as prisões preventivas de Vorcaro e de outras três pessoas, cumpridas nesta quarta-feira, dia 4.
O toolkit que está invadindo iPhones por todo o mundo
Um novo e misterioso toolkit está invadindo aparelhos iPhone que estejam em entre as versões 13.0 e 17.2.1. Seus desenvolvedores o chamaram de Coruna, e o Grupo de Inteligência de Ameaças do Google falou sobre.
Por que isso importa? Muitas pessoas ainda usam as versões afetadas do iPhone e podem estar vulneráveis ao Coruna e suas 23 formas diferentes de exploração. Além disso, este toolkit está sendo utilizado em roubos de criptomoedas.
O impacto: O toolkit do Coruna é extremamente sofisticado e conta com 05 cadeias de exploração envolvendo técnicas que não foram divulgadas publicamente. Além disso, seu arsenal é composto por 23 exploits diferentes.
A timeline: Em janeiro de 2024, a CVE-2024-23222 foi corrigida na versão 17.3 do iPhone. Em fevereiro de 2025 foi documentado o primeiro uso do Coruna, em uma campanha de vigilância. Em julho de 2025, o Coruna foi usado em um ataque de watering hole contra sites ucranianos. Entre o final de 2025 e começo de 2026, campanhas de roubo de criptomoedas através do Coruna foram observadas.
Saiba mais: Além da técnica de exploração usada pelo Coruna, o GTIG também incluiu amostras de indicadores de comprometimento em seu estudo, incluindo implantes, módulos, domínios, endpoints de C2, regras YARA e mais. Confira o post para entender melhor.
Papo Rápido
@Ataques
A CVE-2026-22719 recentemente divulgada que afeta o Broadcom VMware Aria Operations foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). É um caso de injeção de comando que pode permitir a um invasor não autenticado executar comandos arbitrários.(TheHackerNews)
A Cisco está avisando seus clientes sobre duas vulnerabilidades (CVE-2026-20128 e CVE-2026-20122) no Catalyst SD-Wan que continuam sendo exploradas na vida real. (SecurityWeek)
@Patches
Na quarta-feira, a Cisco anunciou correções para 50 vulnerabilidades em seus produtos, incluindo 48 que afetavam os appliances Firewall ASA, Secure FMC e Secure FTD. (SecurityWeek)
A Bitwarden anunciou suporte para login em dispositivos Windows 11 usando chaves de acesso armazenadas no cofre do administrador, possibilitando autenticação resistente a phishing. (BleepingComputer)
@Mundo
Grupos ligados ao Irã estão buscando invadir câmeras de vigilância em países estratégicos, como Israel e outros do Oriente Médio, desde o início da guerra, de acordo com pesquisa da Check Point. (TheRegister)
Europol tira do ar a plataforma de phishing-as-a-service Tycoon 2FA, usada em mais de 64 mil ataques. (TheHackerNews)
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
