Sign in Subscribe
Newsletter

PacificNews#227: The Getaway

PacificNews#227: The Getaway

Quantum Route Redirection: nova tool de phishing contra usuários do Microsoft 365

Uma nova ferramenta de phishing voltada para usuários do Microsoft 365, chamada Quantum Route Redirection, simplifica um fluxo de ataque que antes exigia complexidade técnica. Ela introduz um mecanismo de redirecionamento exclusivo e altamente evasivo, capaz de contornar até mesmo soluções robustas de proteção de e-mail.

Pesquisadores da KnowBe4 observaram a ferramenta em operação a partir de agosto, ao identificar uma campanha de phishing destinada a roubar credenciais de usuários do Microsoft 365. A maioria das vítimas está nos Estados Unidos, que concentraram 76% dos ataques; os 24% restantes se espalham por todos os continentes exceto Austrália.

A ferramenta oferece diversas funcionalidades, incluindo falsificação de contratos de serviços semelhantes ao DocuSign, manipulação de folhas de pagamento, envio de e-mails falsos de notificação de pagamento, alertas de mensagens de voz não lidas e até campanhas de phishing via QR code (quishing).

Os URLs utilizados seguem de forma consistente o padrão "/([\w\d-]+.){2}[\w]{,3}/quantum.php/" e são normalmente hospedados em domínios estacionados ou comprometidos. Outro componente central da ferramenta é o sistema de redirecionamento, projetado para contornar de forma ágil as proteções de e-mail do Microsoft 365. Em ambientes corporativos, essas proteções geralmente incluem o Microsoft Exchange Online Protection (EOP), gateways seguros de e-mail (SEG) e, em muitos casos, soluções de segurança de e-mail baseadas em nuvem (ICES) — consideradas as barreiras mais difíceis de ultrapassar.

Essas tecnologias dependem da análise de URLs. Algumas verificam os links somente no momento da entrega, isolando mensagens suspeitas e liberando apenas aquelas consideradas seguras. Cibercriminosos já exploraram essa limitação ao alterar o destino final do link após essa análise inicial. Para mitigar isso, certos produtos também realizam verificações no momento do clique, bloqueando o acesso caso a URL seja modificada para fins maliciosos após chegar à caixa de entrada.

Para superar até mesmo essas defesas avançadas, os payloads distribuídos pelos hiperlinks de phishing do Quantum Route Redirect conseguem identificar automaticamente o tipo de “visitante” — seja um sistema de segurança ou uma pessoa real — utilizando um mecanismo de redirecionamento inteligente. Assim, uma ferramenta de segurança que analisa um hiperlink será redirecionada para sites legítimos e, portanto, levada a acreditar que o e-mail original é inofensivo, permitindo que o destinatário interaja com ele. No entanto, as pessoas que clicam no hiperlink são enviadas diretamente para páginas de phishing.

Pesquisadores da KnowBe4 afirmaram ter observado o Quantum Route Redirect enganando até mesmo firewalls de aplicativos da Web, "permitindo que ataques contornem várias camadas diferentes de segurança".

Saiba mais

China acusa os Estados Unidos de roubar 13 bilhões de dólares em criptoativos

O Centro Nacional de Resposta e Emergências contra Vírus de Computador da China (CVERC), também conhecido como a principal agência de cibersegurança em Beijing, está acusando os Estados Unidos de roubarem 127.272 Bitcoin, o equivalente a mais de 13 bilhões de dólares. De acordo com o CVERC, este ataque teria acontecido em dezembro de 2020 na LuBian, uma das maiores mineradores de Bitcoin do mundo. O curioso? A quantia é exatamente a mesma que foi apreendida em uma ação policial contra o grupo Prince e Chen Zhi.

Para entender melhor, vamos voltar no tempo: o grupo Prince, encabeçado por Chen Zhi, foi acusado de administrar centrais falsas de golpes por todo o Camboja, sendo duramente criticado por diversos países além dos Estados Unidos, como Cingapura, Hong Kong e Taiwan. Os Estados Unidos, por sua vez, agiram para apreender grande parte do valor obtido nestas centrais de golpes: aplicando um ataque cibernético em desfavor das falsas centrais, no final de 2020. 

Embora este ataque cibernético tenha ocorrido em 2020, o criptoativo roubado permaneceu inativo por mais de quatro anos, mas ainda sob poder dos Estado Unidos. Porém, após a acusação de Chen Zhi, em 2024, este montante foi movido. No momento, não há uma ligação clara entre Zhi e LuBian, embora Washington afirme que Chen Zhi era o proprietário da carteira que continha o Bitcoin. Por outro lado, o relatório de Pequim diz: “Isso claramente não é o comportamento de um hacker típico, ansioso para sacar para obter lucro, mas sim de uma operação precisa orquestrada por uma organização nacional de hackers.”

Esta seria a maior apreensão de criptoativos da história, ainda maior que os 6.7 bilhões de dólares confiscados pelo Reino Unido da famigerada “Rainha do Bitcoin”, Zhimin Qian. É curioso notar que a LuBian não possui registros públicos de propriedade dos ativos digitais, apesar de já ter sido uma das maiores mineradoras de Bitcoin do mundo. A operação aparentemente desapareceu da noite para o dia em 2021 e, hoje, muitos analistas associam esse sumiço ao ataque cibernético de 2020.

Em resumo, a China acusa os Estados Unidos de terem roubado 13 bilhões de dólares em ativos digitais pertencentes a empresas chinesas. Os Estados Unidos, por sua vez, alegam que este suposto roubo nada mais foi do que uma apreensão de frutos obtidos de forma ilícita – através de centrais de golpe. Quem tem razão nesse caso?

Leia mais

O custo do ataque à Jaguar Land Rover

O ataque cibernético à Jaguar Land Rover (JLR) deixou marcas profundas na economia britânica. Entre julho e setembro de 2025, a economia do Reino Unido cresceu apenas 0,1%, bem abaixo do esperado, e a paralisação nas fábricas da montadora levou a uma queda de 0,1% no PIB de setembro.

De acordo com o Escritório de Estatísticas Nacionais (ONS), a produção de veículos caiu 28,6%, levando a indústria ao pior desempenho em mais de 70 anos. O desemprego também subiu para 5%, o maior nível em quatro anos. Como destacou Martin Beck, economista-chefe da consultoria WPI Strategy, “Combinados ao enfraquecimento do mercado de trabalho, esses números reforçam as evidências de que a incerteza econômica e política está pesando sobre a atividade e tornam ainda mais provável um corte de juros pelo Banco da Inglaterra em dezembro.”.

A chanceler Rachel Reeves informou que deve anunciar aumento de impostos ainda neste mês, para compensar a revisão negativa das previsões fiscais. Em um discurso recente, afirmou: “Cada um de nós deve fazer a sua parte pela segurança do nosso país e pelo brilho do seu futuro.”. O resultado fraco do PIB, entretanto, evidencia o risco de que altos impostos possam frear ainda mais a economia.

Além da indústria, o setor de serviços perdeu força e o investimento empresarial recuou 0,3%. O governo reconheceu que os dados são “decepcionantes”, mas atribuiu o resultado ao impacto do ataque à JLR: “É obviamente importante reconhecer a significância do ciberataque à Jaguar Land Rover, que é claramente o principal fator por trás dos números mais fracos de setembro”.

Leia mais

Patches & Updates

Microsoft: A patch Tuesday de Novembro corrigiu 68 vulnerabilidades no Windows, sendo 05 críticas e 59 de severidade importantes. Uma das falhas corrigidas trata-se de um zero-day explorado no mundo real, a CVE-2025-62215 – uma possibilidade de elevação de privilégios. Ao todo foram resolvidas 2 vulnerabilidades sobre spoofing. Já na categoria de negação de serviço, houve 3 correções. As falhas de elevação de privilégio, que costumam ter impacto significativo, receberam a maior atenção: 29 vulnerabilidades foram tratadas. Em bypass de recursos de segurança, foram corrigidas 2 falhas. A categoria de divulgação indevida de informações contou com 11 vulnerabilidades corrigidas. Por fim, as falhas de execução remota de código (RCE) tiveram 16 correções.

Cisco: A CISA alertou as agências federais dos EUA a corrigirem duas vulnerabilidades (CVE-2025-20362 e CVE-2025-20333) que estão sendo ativamente exploradas em dispositivos Cisco Adaptive Security Appliances (ASA) e Firepower. As falhas permitem que agentes de ameaça remotos acessem endpoints de URLs restritos sem autenticação e executem código em dispositivos de firewall Cisco vulneráveis, respectivamente. Ao corrigir os dois problemas em setembro, a Cisco informou seus clientes de que eles haviam sido explorados como vulnerabilidades zero-day em ataques direcionados a dispositivos da série 5500-X com serviços web VPN habilitados.

Rhadamanthys Autoridades policiais de nove diferentes países conseguiram derrubar mais de 1000 servidores usados para atividades maliciosas, especialmente para os operadores do infostealer Rhadamanthys, VenomRAT e a botnet Elysium. A atividade policial ficou conhecida como “Operação Endgame” e contou com a cooperação de diversos países e entes privados, como Cymru, CrowdStrike, Bitdefender, Proofpoint e outros. Além disso, a operação levou à prisão de um suspeito na Grécia, supostamente um dos grandes responsáveis pelo trojan de acesso remoto VenomRAT.

Destaques pelo mundo

Layoff: A Deepwatch, empresa de cibersegurança que desenvolve uma plataforma de detecção e resposta baseada em IA, demitiu dezenas de funcionários na quarta-feira, citando a própria IA como um dos motivos. A empresa não é a única do setor a realizar demissões este ano. Em maio, a gigante da cibersegurança CrowdStrike dispensou cerca de 500 funcionários, o equivalente a 5% de sua força de trabalho. Os cortes ocorreram apesar de um ano recorde, com “fluxo de caixa operacional de US$1,38 bilhão e fluxo de caixa livre recorde de US$1,07 bilhão”, segundo um comunicado à imprensa divulgado na época.

China: A estratégia de ciberataque da China está gerando mais preocupação do que a da Rússia, não por barulho, mas por silêncio. Segundo o estrategista-chefe de segurança cibernética da NTT, Mihoko Matsubara, enquanto a Rússia faz ataques disruptivos que dão visibilidade, a China age de forma mais discreta, preservando suas táticas para um momento futuro. “Minha própria teoria, embora eu não tenha provas, é que a China tem observado a Rússia. Quando você realiza ataques cibernéticos de disrupção, os defensores aprendem suas técnicas e como combatê-las – você lhes dá uma visão de como você opera e como eles podem aprimorar suas defesas.” A China não fará isso. Ela está retendo suas técnicas de disrupção “até o último momento para garantir que possa surpreender”.

Samsung: Uma vulnerabilidade crítica está colocando usuários de dispositivos móveis da Samsung em risco cibernético. A CISA adicionou, no dia 10 de novembro, a vulnerabilidade CVE-2025-21042 ao catálogo KEV, de vulnerabilidades conhecidas e exploráveis. Esta falha de segurança trata-se de uma execução remota de código (RCE) que instaura o spyware LANDFALL em dispositivos Galaxy, alvejando principalmente usuários no Oriente Médio. A cadeia de ataque é extremamente simples e não exige cliques: a vítima simplesmente recebe um arquivo de imagem DNG modificado, com um payload compactado e que é executado na biblioteca de codecs de imagem da Samsung. Atualizem seus dispositivos Samsung para mitigar essa ameaça.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa

Read more