Pacific News #278: O Ataque sem rosto
Assunto do momento: WhatsApp no Iphone é clonado sem senha ou clique da vítima
O que aconteceu? Criminosos exploraram falhas no iOS 16 e no WhatsApp para invadir contas sem precisar de links, QR codes ou códigos de verificação. O ataque foi identificado pela empresa de perícia digital Forenser após casos registrados na Itália.
Por que isso importa? O golpe é praticamente invisível. Os criminosos conseguem enviar mensagens pedindo dinheiro para contatos da vítima sem aparecer na lista de “Aparelhos conectados” do WhatsApp.
O ataque: Os invasores abusaram de falhas no processamento de imagens do iOS (CVE-2025-43300) e na sincronização do WhatsApp (CVE-2025-55177). Com isso, conseguiam extrair credenciais da sessão e criar um acesso paralelo à conta da vítima.
Os alvos: iPhones rodando versões vulneráveis do iOS 16, incluindo modelos do iPhone 8 ao iPhone 14.
Como se proteger: Atualize o iOS e o WhatsApp imediatamente. Se receber pedidos suspeitos de dinheiro, ligue diretamente para a pessoa antes de fazer qualquer transferência.
Ainda sobre WhatsApp: Usuários do WhatsApp em alerta após suposto vazamento de dados
O que aconteceu? Um agente malicioso afirmou estar em posse de milhões de registros supostamente pertencentes a usuários do WhatsApp, incluindo números de telefone e informações de login de contas.
Evidência: Pesquisadores do Cybernews analisaram o conjunto de dados divulgado e confirmaram a existência de diversos arquivos contendo listas de números de telefone segmentados por localização geográfica.
Por que isso importa? Caso os dados sejam legítimos, surgem questionamentos importantes: como esse material foi compilado? O incidente pode indicar uma possível falha nos sistemas do WhatsApp ou os dados teriam sido obtidos por meio de campanhas de engenharia social e phishing?
Orientações de segurança: Usuários devem redobrar a atenção com mensagens suspeitas, links desconhecidos e solicitações de códigos de verificação enviados por SMS ou WhatsApp. Também é recomendável ativar a verificação em duas etapas, revisar dispositivos conectados à conta e evitar compartilhar informações pessoais ou credenciais em conversas não verificadas.
Saiba mais: Curiosamente, o cibercriminoso, conhecido por atuar de forma intensa em fóruns clandestinos, publicou recentemente que estava “seguindo em frente” e, como forma de despedida, disponibilizou gratuitamente o suposto banco de dados relacionado ao WhatsApp.
O futuro do bug bounty na era da IA
O que aconteceu? Existe uma quebra de paradigma em curso em relação aos programas de bug bounty. O motivo é uma enxurrada de reports de bugs gerados por IA, que são capazes de detectar falhas e desenvolver formas de exploração em segundos.
Por que isso importa? Os programas de bug bounty mudaram a percepção de defesa no mundo cibernético, ganhando notoriedade desde 2016 para os dias atuais. Muitos profissionais, inclusive, fazem do bug bounty sua principal fonte de renda ou suplementam seus ganhos. Mas tudo isso pode mudar em breve.
Para as empresas: Grandes corporações conseguem lidar com o alto volume de bugs encontrados. Pequenas e médias empresas, entretanto, sofrem com a alta volumetria. Um padrão da indústria era ter uma janela de 90 dias entre a descoberta da falha e sua divulgação pública, mas isso pode estar com os dias contados.
Com a palavra, o especialista: “A janela de 90 dias para divulgação responsável foi criada para um mundo onde os descobridores de bugs eram raros e o desenvolvimento de exploits era lento. Esse mundo se foi. LLMs comprimiram ambas as linhas do tempo.” disse Himanshu Anand, pesquisador de cibersegurança.
A mudança: A ferramenta em CLI, Curl, encerrou seu programa de bug-bounty em janeiro. De maneira similar, Linus Torvalds, criador e desenvolvedor principal do Linux, mencionou que o número de bugs em sua lista está “quase insustentável” pelo alto volume e achados duplicados feitos por IA. Isso indica uma clara mudança na direção do bug-bounty.
O outro lado da moeda: Além de encontrar vulnerabilidades para alertar empresas, existe o outro lado, onde agentes de ameaça estão explorando zero-days de forma mais rápida. O que antes era considerado um fato raro, pode virar rotina. E isso preocupa empresas e pesquisadores.
Papo Rápido
@Ataques
Atacantes encontraram um zero-day no KnowledgeDeliver, um popular LMS popular no Japão. Ele permite ataques de desserialização via chaves machineKey fixas no web.config, o mesmo vetor já visto no Sitecore e CentreStack. A exploração ativa resultou em web shells Godzilla e backdoor Cobalt Strike personalizado com o nome da vítima. Todas as instâncias anteriores a 24/02/2026 estão vulneráveis. (SecurityWeek)
A campanha “Megalodon” comprometeu mais de 5,5 mil repositórios no GitHub com commits maliciosos que roubam credenciais de CI/CD, chaves AWS, tokens de nuvem e segredos de infraestrutura. O ataque se espelha quando mantenedores fazem merge dos commits infectados, atingindo inclusive pacotes legítimos como o Tiledesk. (TheRegister)
@Patches
A Microsoft corrigiu a falha crítica CVE-2026-45659, no SharePoint, que permitia a execução remota de códigos (RCE) sob circunstâncias específicas, bastando um atacante autenticado e sem a necessidade de privilégios elevados. (TheHackerNews)
@Mundo
A Lituânia investiga vazamento massivo de mais de 600 mil registros de cadastros nacionais, incluindo imóveis e pessoas jurídicas, acessados via credenciais legítimas de instituições autorizadas. Autoridades suspeitam de envolvimento estrangeiro; oposição aponta a Rússia, sem evidências formais. (SecurityWeek)
O site de produtos do diretor do FBI, Kash Patel, foi tirado do ar após comprometimento da página para distribuir malware via um falso CAPTCHA da Cloudflare. O ataque do tipo ClickFix induzia usuários de macOS a executar comandos maliciosos no terminal. (SecurityAffairs)
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
