Sign in Subscribe
Newsletter

PacificNews#218: O Captain! My Captain!

PacificNews#218: O Captain! My Captain!

Satélites estão vazando os segredos do mundo

Se levarmos em conta que satélites transmitem dados para a Terra ao nosso redor o tempo todo, seria lógico supor que essas comunicações por rádio fossem criptografadas, a fim de impedir que qualquer pessoa com uma antena parabólica pudesse acessar informações sensíveis, certo? Pois bem, infelizmente, não é isso que acontece na prática.

Uma equipe de pesquisadores da Universidade da Califórnia em San Diego e da Universidade de Maryland descobriu que aproximadamente metade dos sinais emitidos por satélites geoestacionários, muitos dos quais transportam comunicações confidenciais de consumidores, empresas e governos, estava totalmente vulnerável à espionagem.

Apenas apontando suas antenas parabólicas para diferentes satélites, o grupo conseguiu reunir uma alarmante coleção de dados não criptografados: amostras de chamadas e mensagens de texto de usuários da rede celular da T-Mobile nos Estados Unidos, dados de navegação Wi-Fi de passageiros de companhias aéreas durante voos, comunicações envolvendo infraestruturas críticas como concessionárias de energia elétrica e plataformas offshore de petróleo e gás, e até mesmo transmissões militares e policiais dos EUA e do México que revelavam a localização de pessoal, equipamentos e instalações.

Os pesquisadores afirmam ter passado quase um ano alertando empresas e agências cujos dados confidenciais foram encontrados expostos em comunicações via satélite. A maioria delas, incluindo a T-Mobile, reagiu rapidamente e implementou criptografia para proteger suas transmissões. No entanto, outras alertadas mais recentemente, ainda não adicionaram camadas de criptografia aos seus sistemas baseados em satélite.

Leia mais

Payroll Pirates: atacantes estão desviando os salários de professores

O Grupo de Inteligência de Ameaças da Microsoft identificou uma nova campanha de crime cibernético que está invadindo os sistemas de pagamento de universidades norte-americanas. De acordo com a análise, o grupo Storm-2657 está alvejando e desviando salários de professores universitários, com invasões aos sistemas de softwares de Recursos Humanos, em uma campanha conhecida como “payroll pirates’. 

O ataque não é exatamente rebuscado: começa com o comprometimento de contas de email de colaboradores do RH; acesso indevido ao sistema de pagamento; mudanças arbitrárias nas configurações de salários, configurando contas bancárias atreladas aos atacantes ao invés das contas legítimas dos professores. Um ataque relativamente simples, mas audacioso, tal como uma invasão pirata.

Para conseguir acesso aos emails do RH, o Storm-2657 usa phishing por email, com o objetivo de conseguir os códigos de 2FA usando técnicas de “attacker-in-the-middle”, visando quebrar o acesso ao Exchange Online. De acordo com o relatório, não se trata de uma exploração de uma vulnerabilidade nos sistemas da Microsoft, mas sim de configurações inadequadas e utilização insuficiente do 2FA.

A Microsoft complementa: “Desde março de 2025, nós observamos 11 contas comprometidas em três diferentes universidades, que foram usadas para enviar emails de phishing para cerca de 6000 contas espalhadas entre 25 universidades”. Além disso, os emails foram customizados com uma precisão acadêmica: falsas atualizações de RH, relatos de má conduta de professores ou comunicados sobre surtos de doenças, muitas vezes vinculados por meio de documentos compartilhados no Google Docs para contornar filtros e parecerem mensagens rotineiras.

Em um exemplo, uma mensagem alertando sobre um surto de doenças foi enviado para 500 pessoas dentro de uma universidade. Destes 500 envios, apenas 10% foram identificados como maliciosos. 

Uma vez com o acesso inicial, os invasores adicionam seus próprios números de telefone como dispositivos de 2FA, garantindo que as aprovações subsequentes cheguem até eles. Todo o processo ocorre de forma silenciosa, pois as vítimas nunca veem as notificações alteradas. Detectar este tipo de ataque exige uma visibilidade entre sistemas: algo muito difícil de encontrar em universidades. Por exemplo, correlacionar a telemetria entre o Exchange Online e o Workday.

De acordo com a Microsoft, a prevenção começa com o abandono completo do uso de senhas e adotando métodos resistentes a phishing, como chaves FIDO2, passkeys ou o Windows Hello. Quando há suspeita de comprometimento, as ações imediatas incluem redefinir credenciais, remover dispositivos de MFA maliciosos, eliminar regras de e-mail criadas por invasores e reverter quaisquer alterações na folha de pagamento.

Leia mais

Patches & Updates

Oracle:
A empresa de tecnologia corre contra o tempo para lançar uma atualização de emergência do E-Business Suite (EBS), enquanto ataques linkados ao Clop seguem a todo vapor.  A falha explorada é a CVE-2025-61884, de CVSS 7.5, afetando o componente Runtime UI do EBS. O patch de segurança, no entanto, só deve ficar disponível na próxima semana.

Android:
Dispositivos Google e Samsung que executam as versões 13 a 16 do Android foram considerados vulneráveis ​​a um ataque chamado Pixnapping. Trata-se de uma estrutura de roubo de pixels voltada para dispositivos Android, de forma a contornar as mitigações do navegador e até mesmo desviar dados de aplicativos que não sejam navegadores, como o Google Authenticator, aproveitando as APIs do Android e um canal lateral de hardware, permitindo que um aplicativo malicioso utilize a técnica como arma para capturar códigos 2FA em menos de 30 segundos. Embora não esteja claro se os dispositivos Android de outros fabricantes de equipamentos originais (OEMs) são suscetíveis ao Pixnapping, a metodologia subjacente necessária para realizar o ataque está presente em todos os dispositivos que executam o sistema operacional móvel. O Google rastreia o problema como CVE-2025-48561 (pontuação CVSS: 5,5). Patches para a vulnerabilidade foram lançados pela gigante da tecnologia como parte do seu Boletim de Segurança do Android de setembro de 2025.

Microsoft:
A big tech reformulou o modo Internet Explorer (IE) em seu navegador Edge após receber "relatórios confiáveis" em agosto de 2025 de que agentes de ameaças desconhecidos estavam abusando do recurso de compatibilidade com versões anteriores para obter acesso não autorizado aos dispositivos dos usuários. De acordo com a equipe de Pesquisa de Vulnerabilidades de Navegadores da Microsoft em um relatório publicado na semana passada, “Os agentes de ameaças estavam utilizando técnicas básicas de engenharia social juntamente com exploits não corrigidos (dia zero) no mecanismo JavaScript do Internet Explorer (Chakra) para obter acesso aos dispositivos das vítimas”. Assim, a empresa removeu o botão dedicado da barra de ferramentas, o menu de contexto e os itens do menu. Os usuários que desejarem habilitar o modo IE agora terão que habilitá-lo explicitamente, caso a caso, nas configurações do navegador Edge.

Destaques pelo mundo

Dev:
Os problemas na cadeia de suprimento continuam. Pesquisadores de cibersegurança identificaram pacotes maliciosos nos ecossistemas npm, Python e Ruby que enviam dados de desenvolvedores para servidores do Discord, que funcionam como uma espécie de plataforma de comando e controle (C2), transmitindo dados roubados. Os maiores alvos dessas campanhas são aqueles interessados em Web3, criptomoedas e desenvolvedores de blockchain, bem como pessoas que buscam empregos no setor de tecnologia. Quando executados na máquina de seu alvo, estes pacotes atuam como um stealer, roubando credenciais, dados de carteiras de criptoativos, keychains do MacOS, movimento de teclas, capturas de tela e mais, enviando-os a um servidor de Discord.   

Trojan:
Segundo o novo Panorama de Ameaças da Kaspersky, o Brasil mantém a liderança como principal alvo e também como um dos maiores desenvolvedores de trojans bancários na América Latina. Os dados revelam uma mudança importante na dinâmica dos ataques de trojans bancários. Se antes os criminosos concentravam suas ações em computadores, a Kaspersky aponta uma migração crescente para dispositivos móveis.

China:
Atacantes cibernéticos chineses, do grupo Flax Typhoon, mantiveram persistência em um ambiente por mais de 01 ano sem serem notados, através da exploração de uma ferramenta de mapeamento. Para tanto, os ofensores modificaram uma de suas funcionalidades, o transformando em um webshell. O  Flax Typhoon ganhou notoriedade por espionar entidades nos Estados Unidos, Europa e Taiwan desde 2021 e, desde o ano passado, conseguiram acesso indevido a um servidor privado ArcGIS – um dos programas mais usados para mapeamento geoespacial em todo o mundo. Os atacantes acharam um servidor do ArcGIS exposto à internet e conectado a um backend, comprometeram a conta do administrador do portal e implementaram uma extensão maliciosa, habilitando um diretório privado no próprio servidor, onde permaneceram indetectados por mais de 01 ano.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa

Read more