PacificNews#223: Spooky, scary skeletons
Interrupção do Microsoft Azure revela a dura realidade das falhas na nuvem
Por volta do meio-dia (horário do leste dos EUA) na quarta-feira, a plataforma de nuvem Azure da Microsoft e seus serviços amplamente utilizados, como o Office 365, o Xbox e o Minecraft, começaram a apresentar interrupções. O incidente é o segundo em menos de duas semanas em que um provedor de nuvem sofre instabilidade.
Os problemas da Microsoft se originaram especificamente na rede de distribuição de conteúdo Front Door do Azure e surgiram poucas horas antes do anúncio dos resultados financeiros da empresa. A gigante da tecnologia afirmou que a interrupção foi resultado de "uma alteração de configuração inadvertida" e detalhou que passou por um processo de reversão sequencial das versões recentes de seu ambiente até identificar a última configuração estável conhecida.
De acordo com Davi Ottenheimer, vice-presidente da empresa de infraestrutura de dados Inrupt e gerente com vasta experiência em operações de segurança e conformidade: “Mais um erro de alteração de configuração — estamos na era das violações de integridade, mais do que nunca.”
Não está claro qual foi, exatamente, a extensão do impacto na internet, mas estimativas geralmente apontam que o Microsoft Azure detém cerca de 20% do mercado global de nuvem.
Herodotus: o malware que se passa por um humano
Pesquisadores de cibersegurança identificaram o Herodotus, um novo trojan bancário para o sistema operacional Android. Este malware, no entanto, tem uma característica que o diferencia de outros trojans: ao executar seus comandos, o Herodotus simula um humano, digitando pausadamente e imitando comportamentos reais, para tentar enganar mecanismos de segurança que desconfiariam de uma digitação extremamente rápida e/ou instantânea.
A descoberta veio do time de inteligência de ameaças da empresa ThreatFabric, que identificou campanhas ativas do Herodotus na Itália e no Brasil, através de ataques de device-takeover, ou seja, controle total do dispositivo.
A distribuição do Herodotus segue o modus operandi comum de trojans bancários, sendo feito por side-loading no dispositivo, geralmente envolvendo smishing – a prática de envio de phishing através de SMS. Quando a vítima clica no link, um dropper é instalado no sistema, que irá tentar baixar todo o payload e contornar os sistemas de segurança do Android através de abuso dos serviços de acessibilidade.
Se o Herodotus for instalado com sucesso, ele irá lançar telas falsas que simulam login em aplicativos financeiros, com capacidade de roubar credenciais dos usuários. O trojan também consegue interceptar tudo que está exibido na tela, como códigos de autenticação em dois fatores, PINs e senhas de bloqueio. O malware também consegue instalar outros apps em seu dispositivo de forma remota, e é aqui que seu diferencial aparece.
Instalar apps remotamente é algo esperado em trojans, mas o Herodotus faz isso driblando a segurança: entre cada caractere digitado, o malware coloca um atraso proposital em um intervalo entre 0.3 e 3 segundos, simulando o comportamento de um humano e conseguindo evitar detecção de soluções de análise comportamental e sistemas anti-fraudes.
Na Itália, o malware se passa por um aplicativo chamado “Banca Sicura”, se conectando ao subdomínio “af45kfx”. No Brasil, o Herodotus foi visto sendo chamado de “Módulo Segurança Stone”.
Para se proteger do Herodotus e outros trojans bancários, é importante sempre desconfiarmos de mensagens enviadas de pessoas desconhecidas; sempre evitar de clicar em links que falem sobre compras de alto valor, empréstimos, pedidos de ajuda e ofertas que parecem boas demais para serem verdade e, sobretudo, nunca instalar aplicativos de fontes desconhecidas no Android.
O malware invisível: PhantomRaven se espalha em pacotes npm
Uma nova campanha de ataque comprometeu o repositório npm, principal fonte de pacotes JavaScript. Batizada de PhantomRaven, a operação espalhou mais de 120 pacotes maliciosos que roubam tokens, chaves SSH e credenciais durante a instalação. Segundo a empresa de segurança Koi, o ataque, ativo desde agosto de 2025, alcançou mais de 86 mil downloads antes de ser detectado.
O diferencial do PhantomRaven está em uma técnica inédita chamada Remote Dynamic Dependencies (RDD), que permite aos invasores mascarar o código malicioso. Distinto dos malwares tradicionais, os pacotes parecem vazios e inofensivos, muitas vezes contendo apenas um “Hello World”. Entretanto, no momento da instalação, códigos adicionais eram baixados de um servidor remoto controlado pelos invasores, que então executava o roubo de dados.
Essa abordagem torna o ataque quase invisível a ferramentas de detecção, especialmente se baseadas em análise estática, já que o código malicioso não está presente no repositório do npm. Além disso, segundo os pesquisadores da Koi, mesmo desenvolvedores experientes poderiam ser enganados, já que os pacotes usam nomes aparentemente inofensivos e alguns parecem ter sido sugeridos automaticamente por ferramentas de IA assistentes de codificação.
Os dados roubados eram enviados para um domínio controlado pelos atacantes, com subdomínios gerados aleatoriamente para cada vítima, o que complica ainda mais a detecção. Segundo os pesquisadores, até 80 pacotes comprometidos ainda estavam ativos quando o ataque foi revelado.
O caso do PhantomRaven demonstra uma nova fase nas ameaças à cadeia de suprimentos de software, em que o perigo não está apenas no código visível, mas também no que ele pode buscar e executar silenciosamente após a instalação. Para especialistas, o incidente reforça a necessidade de mecanismos mais avançados de monitoramento dinâmico e validação de dependências, além de uma revisão urgente nas práticas de confiança em registros públicos.
Patches & Updates
NPM: Dez pacotes maliciosos foram identificados no registro npm, somando quase 10.000 downloads. Imitando projetos de software legítimos, esses pacotes baixavam um componente de roubo de informações. Este componente coletava dados sensíveis de sistemas Windows, Linux e macOS, incluindo credenciais de chaveiros de sistema, navegadores e serviços de autenticação. Recomenda-se que os desenvolvedores que baixaram algum dos pacotes removam a infecção e alterem todos os tokens de acesso e senhas, pois há uma grande probabilidade de que eles estejam comprometidos.
Wordpress: O plugin de Segurança Anti-Malware e Firewall de Brute-Force para o Wordpress, instalado em mais de 100 mil sites, tem uma vulnerabilidade que permite a um atacante remoto ler qualquer arquivo em seu servidor. Identificada como CVE-2025-11705, esta falha de segurança foi reportada à Wordfence pelo pesquisador Dmitrii Ignatyev e afeta as versões 4.23.81 e anteriores do plugin. Desde o dia 15 de outubro, o desenvolvedor do plugin lançou a versão 4.23.83 do produto, que corrige a falha.
Chrome: O Google anunciou que seu navegador Google Chrome irá carregar todos os websites públicos através de conexões HTTPS por padrão e, ao tentar se conectar em sites inseguros HTTP, irá sempre pedir permissão ao usuário. Estas mudanças devem começar com a versão 154 do navegador, em outubro de 2026. Esta opção existe desde 2021 no navegador, mas não é habilitada por padrão. A ideia é proteger os usuários de ataques de “Man-in-the-middle” (MITM) que tentam obter dados trocados em conexões inseguras que ocorrem em comunicações não criptografadas no protocolo HTTP.
Destaques pelo mundo
Canadá: Hacktivistas invadiram setores de infraestrutura crítica no Canadá, interferindo com controles que poderiam resultar em condições críticas. As vítimas destas ações incluem uma empresa municipal de água e esgoto, onde os valores da pressão no fornecimento de água foram alterados. Uma empresa de combustível também foi afetada, com a temperatura de um dos silos da organização alterada dolosamente. Ambas as situações poderiam ter desfechos catastróficos se não fossem descobertas a tempo.
Rússia: Segundo o Departamento de Justiça dos EUA, um cidadão australiano se declarou culpado por roubar segredos comerciais de uma empresa contratada pela defesa americana e vendê-los a um corretor russo de exploits cibernéticos. “Ele colocou a ganância acima da liberdade e da democracia ao roubar e revender US$35 milhões em segredos comerciais cibernéticos…”, disse Roman Rozhavsky, diretor assistente da Divisão de Contrainteligência do FBI.
Japão: A Dentsu, empresa japonesa e uma das maiores agências de publicidade e relações públicas do mundo, sofreu uma violação de dados que afetou os sistemas de sua subsidiária Merkle. Os agentes maliciosos obtiveram determinados arquivos da rede, incluindo alguns com informações relacionadas a fornecedores, clientes e funcionários atuais e antigos. Acredita-se que os arquivos comprometidos incluam informações sensíveis, como dados pessoais de contato, salários, dados bancários e de folha de pagamento, e número do Seguro Nacional.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
