PacificNews#201: Whoever wins, we lose
Nova técnica dribla os mecanismos de autenticação FIDO do Microsoft Entra ID
Pesquisadores de cibersegurança da Proofpoint criaram uma nova técnica de ataque contra o Microsoft Entra ID – o antigo Azure AD, para aqueles que se lembram desse nome. Nesta técnica, foi possível contornar os controles do método FIDO. Para quem não sabe, FIDO é um método de autenticação em passkeys (ou seja, sem senhas), baseado nos padrões FIDO2 e WebAuthn, que foram desenhados para eliminar fraquezas na utilização de senha e até mesmo MFA. No FIDO, quando um usuário registra uma passkey, o dispositivo gera um par de chaves, que são utilizadas para solucionar um desafio único e aleatório para o login, que verifica a identidade do usuário. Somente o dispositivo do usuário tem a posse da chave privada correta – e esta não é transmitida a lugar nenhum durante o processo de autenticação. Então, como é possível quebrar essa autenticação? Vamos entender.
Primeiro, cabe aqui falar que não se trata de uma vulnerabilidade no FIDO em si, mas somente que o sistema não é perfeito e pode ser contornado. A ideia central deste método de autenticação é ser, basicamente, imune à phishing. Ocorre que os canais de autenticação, na verdade, são sim vulneráveis a ataques de phishing utilizando um adversary-in-the-middle com ferramentas como Evilginx, já que permite o roubo de cookies de sessão e, por consequência, o sequestro de contas.
Isto é possível por causa de um phishlet customizado do Evilginx com o framework de AiTM, que, utilizando spoofing, simula um user agent de um navegador que não tem suporte ao FIDO, como, por exemplo, o Safari no Windows. Parece uma falha inocente na funcionalidade mas, quando explorada, resulta em uma falta de segurança.
Se um atacante envia um phishing para um alvo nestas condições, ao clicar no link para logar em sua conta Microsoft através do proxy controlado pelo atacante, o usuário seria forçado a se autenticar por um método menos seguro, afinal, não há suporte ao FIDO. Assim, ao logar, seja através do Microsoft Authenticator, seja através de SMS ou OTP, o proxy do Evilginx captura as credenciais da conta, token MFA e até mesmo o cookie de sessão, conseguindo emular a sessão legítima da vítima e efetuando o sequestro da conta.
Não há registro desta técnica sendo empregada em casos reais de exploração, mas é inegável que este é um risco iminente. Para os usuários, fica o alerta: caso você use método FIDO de autenticação e, do nada, durante o processo de login, um método diferente seja solicitado, pode tratar-se de um phishing. Vale o alerta!
Novo trojan para Android, chamado PhantomCard, é identificado no Brasil
Um novo trojan para Android, batizado de PhantomCard, foi recentemente identificado. A ameaça utiliza comunicação por campo de proximidade (NFC) para realizar ciberataques direcionados a clientes bancários no Brasil.
Segundo a empresa de segurança ThreatFabric, o malware intercepta e retransmite, via NFC, os dados do cartão bancário da vítima diretamente para o dispositivo do fraudador. A distribuição ocorre por meio de páginas falsas do Google Play, que imitam aplicativos legítimos de proteção de cartão — como o fictício “Proteção Cartões” (com os nomes de pacote “com.nfupay.s145” ou “com.rc888.baxi.English”).
Após a instalação e abertura do aplicativo malicioso, a vítima é instruída a posicionar o cartão de crédito ou débito na parte traseira do smartphone para “iniciar a verificação”. A interface exibe a mensagem: “Cartão detectado! Mantenha o cartão por perto até que a autenticação seja concluída.” Na prática, entretanto, o programa envia as informações coletadas para um servidor de retransmissão NFC controlado pelos criminosos, explorando o leitor NFC presente na maioria dos dispositivos modernos.
Em seguida, o PhantomCard solicita que o usuário insira o código PIN, que também é capturado e repassado ao invasor. Com esses dados, o criminoso pode autenticar transações como se tivesse o cartão físico em mãos. “O PhantomCard cria um canal direto entre o cartão da vítima e o terminal PoS ou caixa eletrônico próximo ao fraudador, permitindo que o cartão seja usado remotamente”, explicou a ThreatFabric.
A investigação aponta que o responsável pela distribuição no Brasil é um desenvolvedor conhecido como Go1ano, descrito como um “revendedor em série” de ameaças Android no país. O PhantomCard seria, na verdade, uma adaptação de um serviço chinês de malware-as-a-service chamado NFU Pay, promovido em canais do Telegram.
No próprio canal, Go1ano afirma que o PhantomCard funciona globalmente, é “100% indetectável” e compatível com todos os terminais de pagamento (PoS) com suporte a NFC.
Patches & Updates
Fortinet:
A empresa de tecnologia Fortinet comunicou sobre uma falha em seu produto FortiSIEM que possui um caso real de exploração – além de prova de conceito publicada – aumentando sua criticidade. A vulnerabilidade trata-se de injeção arbitrária de comandos por um atacante não autenticado, com CVSS 9.8 e impactando vários branches do FortiSIEM, desde o 5.4 até o 7.3. Esta falha recebeu o CVE-2025-25256. Recomenda-se a atualização para as versões 7.3.2, 7.2.6, 7.1.8, 7.0.4 e 6.7.10 do FortiSIEM. Ressalta-se que entre as versões 5.4 e 6.6 também há vulnerabilidades, mas não são mais suportadas pela fabricante e não receberão atualizações.
Zoom:
A empresa corrigiu uma falha crítica de segurança nos Zoom Clients para Windows que pode permitir escalação de privilégios. A vulnerabilidade, identificada como CVE-2025-49457 (pontuação CVSS: 9,6), refere-se a um caso de caminho de pesquisa não confiável nos produtos: Zoom Workplace para Windows antes da versão 6.3.10; Zoom Workplace VDI para Windows antes da versão 6.3.10 (exceto 6.1.16 e 6.2.12); Zoom Rooms para Windows antes da versão 6.3.10; Zoom Rooms Controller para Windows antes da versão 6.3.10; Zoom Meeting SDK para Windows antes da versão 6.3.10.
Xerox:
Diversas vulnerabilidades foram reveladas no Xerox FreeFlow Core, a mais grave das quais pode resultar na execução remota de código. Os problemas, que foram corrigidos na versão 8.0.4, incluem: CVE-2025-8355 (pontuação CVSS: 7,5) - Vulnerabilidade de injeção de Entidade Externa XML (XXE) que leva à falsificação de solicitação do lado do servidor (SSRF) e CVE-2025-8356 (pontuação CVSS: 9,8) - Vulnerabilidade de travessia de caminho que leva à execução remota de código.
Destaques pelo mundo
UnitedHealth:
O ataque cibernético à unidade de tecnologia do UnitedHealth Group (UNH.N) no ano passado impactou 192,7 milhões de pessoas, segundo o site do Departamento de Saúde dos EUA divulgado na quinta-feira. O incidente, a maior violação de dados de saúde nos Estados Unidos até o momento, foi divulgado em fevereiro do ano passado. A unidade foi infiltrada por agentes que se identificaram como o grupo de ransomware “Blackcat”, causando interrupções generalizadas no processamento de solicitações e impactando pacientes e provedores em todo o país.
Rússia:
Atacantes cibernéticos russos passaram meses vasculhando o sistema de gerenciamento de casos de cortes federais americanas. Este ataque aos sistemas de Washington foi confirmado por oficiais administrativos, que alegam que estes atacantes acessaram os sistemas digitais das cortes de justiça, que consistem em mais de 200 instâncias executadas localmente e conseguiram extrair documentos sigilosos, identidade de testemunhas e até mesmo uma cópia da topologia do sistema. O curioso é que, ao mesmo tempo, oficiais da Noruega afirmam que os mesmos atacantes tomaram conta dos portões que controlam uma barragem em Bremanger, mantendo-os abertos por 4 horas, desperdiçando cerca de 500 litros de água por segundo. Isto mostra como os agentes de ameaças estão, cada vez mais, voltando sua atenção para setores críticos da sociedade.
Canadá:
A Câmara dos Comuns, no Canadá, está investigando um incidente cibernético que culminou em vazamento de informações pessoais de colaboradores do parlamento. Apesar de ainda não haver um pronunciamento público sobre o caso, a CBC News comunicou que funcionários da Câmara foram notificados esta semana sobre o incidente. Pelo comunicado, os atacantes exploraram uma falha na Microsoft Exchange (CVE-2025-53786) para acessar um banco de dados contendo informações sensíveis nos computadores e dispositivos móveis do Parlamento. Ainda não se sabe qual o adversário por trás do ataque, mas os funcionários foram alertados a redobrar a atenção quanto a tentativas de golpes e fraudes em seus nomes.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
