PacificNews#229: There Will Be Blood
Cisco alerta sobre riscos de tecnologia obsoleta na Era da IA
À medida que as plataformas de inteligência artificial generativa facilitam aos invasores a localização e a exploração de vulnerabilidades nos sistemas, a Cisco, uma das líderes em tecnologia de redes, lança a iniciativa "Infraestrutura Resiliente". O objetivo é aumentar a conscientização sobre esse risco crescente e promover melhorias de segurança, abrangendo tanto seus dispositivos mais antigos quanto produtos legados de outras empresas que ainda estão em operação.
Roteadores, switches de rede e dispositivos de armazenamento em rede (NAS) antigos representam há tempos um risco silencioso para as organizações. Isso ocorre porque essa infraestrutura frequentemente possui configurações inseguras, e a tecnologia legada, muitas vezes, não recebe mais suporte dos fornecedores para atualizações de software ou outras proteções de segurança.
Um estudo da consultoria britânica WPI Strategy analisou a prevalência e o impacto de tecnologias obsoletas na "infraestrutura nacional crítica" de cinco países: Estados Unidos, Reino Unido, Alemanha, França e Japão. O levantamento concluiu que o Reino Unido (seguido de perto pelos EUA) enfrenta o maior risco relativo do grupo devido ao uso generalizado de tecnologias legadas e ultrapassadas em setores-chave. Por outro lado, o Japão apresentou o menor risco relativo, segundo o relatório, graças a uma maior ênfase em atualizações consistentes, à descentralização da infraestrutura crítica e a "um foco nacional mais forte e consistente na resiliência digital".
A iniciativa da Cisco inclui pesquisa e interação com o setor, além de mudanças técnicas na forma como a empresa gerencia seus próprios produtos legados. A companhia está, inclusive, implementando novos alertas para produtos que se aproximam do fim de sua vida útil: se os clientes estiverem executando configurações inseguras conhecidas ou tentarem adicioná-las, receberão um aviso claro e explícito ao atualizar o dispositivo.
Novo malware para WhatsApp está se espalhando pela internet brasileira
Você se lembra da campanha “WaterSaci”, que espalhava o malware SORVEPOTEL rapidamente pelo WhatsApp? Especialistas de cibersegurança identificaram uma nova campanha, bastante similar ao WaterSaci, que combina engenharia social e comprometimento do WhatsApp para entregar um infostealer baseado em Delphi chamado “Eternidade Stealer”. Este ataque está focado em usuários no Brasil.
O ataque começa com um script Visual Basic ofuscado, com comentários escritos em português, que, ao ser executado, executa um arquivo batch que irá consolidar duas ações: iniciar um worm que se propaga automaticamente pelo WhatsApp e um instalador MSI que irá instaurar o Eternidade Stealer no sistema da vítima.
O worm de WhatsApp é escrito em python e tem uma função crítica chamada “obter_contatos()”, que permite com que o malware roube toda a lista de contatos da vítima. Na sequência, o script é programado para filtrar grupos, listas de transmissão e contatos empresariais na lista de contatos, focando em atacar outros indivíduos. Assim, duas coisas acontecem: o malware envia uma lista de contatos com nome, foto e número para o servidor de C2 e também, automaticamente, envia uma mensagem automática a todos os contatos.
Esta mensagem é gerada pelo script em Python, consistindo em uma saudação (bom dia, boa tarde ou boa noite, dependendo da hora do sistema) e uma mensagem dizendo “Segue o arquivo solicitado. Qualquer dúvida estou à disposição!”. O arquivo, obviamente, é um malicioso e faz parte da distribuição e autopropagação do Eternidade Stealer.
Uma curiosidade é que o Eternidade Stealer só alveja vítimas brasileiras. Ou seja, se a linguagem do sistema operacional não for português, sua instalação será interrompida. Uma vez instalado, entretanto, este malware irá escanear todos os processos em execução e chaves de registro atrás da presença de produtos de segurança no sistema. Uma vez finalizado o scan, o Eternidade Stealer é injetado no processo “svchost.exe”.
O infostealer, então, fica a todo momento varrendo todo o sistema, procurando strings relacionadas a bancos, portais de pagamentos, serviços financeiros e corretoras de criptoativos, como Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, CoinBase e etc. Assim que a vítima abrir um destes serviços, o ataque é executado, monitorando toda a atividade da vítima, registrando as teclas pressionadas no teclado, tirando capturas de tela e roubando arquivos.
O WhatsApp segue sendo um dos canais de comunicação mais explorados pelo cibercrime no Brasil. Nos últimos dois anos, agentes de ameaça vêm refinando suas táticas e aproveitando a enorme popularidade do aplicativo para disseminar trojans bancários e ladrões de informações, um cenário que se repete com o Eternidade Stealer.
Grupo criminoso rouba 90 GB de dados confidenciais ligados à Petrobras
A Petrobrás foi alvo indireto de um ataque cibernético que resultou no roubo de grandes volumes de dados sensíveis. O grupo Everest anunciou, em 14 de novembro, o comprometimento dos sistemas da SA Exploration, empresa que presta serviços à Petrobras, e publicou na Dark Web dois conjuntos de arquivos obtidos durante o incidente: um pacote com 90 GB de dados ligados à estatal e outro, de 176 GB, que inclui informações da própria prestadora.
Nesta segunda-feira (17), o grupo adicionou um contador à publicação e incluiu a mensagem: “um representante da companhia deve seguir as instruções para nos contatar antes que o prazo expire”. Segundo o Everest, o acesso ao ambiente da prestadora ocorreu por meio de credenciais comprometidas, possivelmente ligadas ao uso de senhas vazadas. Não houve criptografia nem interrupção dos sistemas, apenas a extração dos arquivos.
Entre os materiais expostos estão dados técnicos de pesquisas sísmicas, como coordenadas de embarcações, posição de sensores, parâmetros de equipamentos e relatórios de qualidade. O grupo responsável alega que o acesso antecipado a essas informações pode gerar prejuízos financeiros e permitir que concorrentes compreendam a metodologia utilizada. Já a Petrobras reforça que seus sistemas internos não foram atingidos e que a exposição ficou limitada ao ambiente da prestadora, sem impacto nas operações, clientes ou colaboradores.
A divulgação do ataque aconteceu praticamente junto ao anúncio da Petrobras sobre a descoberta de petróleo da Bacia de Campos, o que acabou levantando dúvidas sobre uma possível conexão. Mesmo assim, não há indicação de que os dois fatos tenham relação. A avaliação é que o Everest provavelmente usou o nome do projeto para dar mais peso ao caso e aproveitar a visibilidade gerada pela descoberta.
Patches & Updates
Fortinet: Uma nova vulnerabilidade no FortiWeb está sendo explorada no mundo real. Conhecida como CVE-2025-58034, essa falha de segurança tem CVSS de 6.7/10 e trata-se de uma neutralização imprópria de elementos especiais em comandos de Sistema, que permite a um atacante autenticado a execução de códigos em sistemas proibidos. A falha foi corrigida nas versões: 8.0.2, 7.6.6, 7.4.11, 7.2.12 e 7.0.12 ou superiores.
Meta: A segurança do WhatsApp tem sido uma prioridade para a Meta. Esta semana, foi lançado o WhatsApp Research Proxy, uma ferramenta que deve ajudar quem faz bug bounty na aplicação, já que auxilia a quem está testando para se aprofundar mais nas tecnologias do WhatsApp. A ideia da Meta, inclusive, é abrir cada vez mais as portas a seu programa de bug bounty: só este ano, receberam cerca de 13000 submissão de relatórios de falhas, sendo 800 considerados válidos, resultando num total de 4 milhões de dólares pagos em bug bounty em 2025.
7-Zip: Atores maliciosos estão explorando uma vulnerabilidade, a CVE-2025-11001 (pontuação CVSS de 7,0), recentemente corrigida no 7-Zip que permite a execução remota de código (RCE). Trata-se de um problema de travessia de diretório durante a análise de arquivos e requer interação do usuário para ser explorado com sucesso. A correção consta na versão 25.00 do 7-Zip, lançada em julho.
Destaques pelo mundo
Amazon: De acordo com o grupo de inteligência de ameaças da Amazon, atacantes iranianos estão usando ataques cibernéticos em preparação para ataques físicos. Estas afirmações baseiam-se em dois estudos de caso: o primeiro, baseado nos grupos Imperial Kitten e Tortoiseshell que, após ataques cibernéticos contra navios e plataformas marítimas, um ataque coordenado de mísseis foi executado contra uma embarcação. O segundo caso envolve o grupo MuddyWater que, a partir de um centro de operações cibernéticas, conseguiu comprometer um servidor de CCTV em Jerusalém, fizeram reconhecimento virtual e, posteriormente, lançaram um ataque a mísseis contra a cidade. A Amazon chamou estes ataques de “alvos cinéticos habilitados pelo ciberespaço” e acredita que a prática de fazer reconhecimento virtual de alvos para executar ataques físicos deve ficar cada vez mais comum. Estes estudos de caso foram compartilhados na conferência CYBERWARCON.
Ransomware: Os Estados Unidos, a Austrália e o Reino Unido anunciaram, na quarta-feira, sanções coordenadas contra a empresa russa de internet Media Land, acusando-a de apoiar operações de ransomware. A embaixada russa em Londres não respondeu de imediato ao pedido de comentários.
Strike: Atores maliciosos ligados ao Irã se envolveram em guerra cibernética como parte de seus esforços para facilitar e aprimorar ataques físicos no mundo real. Como exemplo, o grupo de hackers Imperial Kitten (também conhecido como Tortoiseshell), considerado afiliado à Guarda Revolucionária Islâmica do Irã (IRGC), foi identificado realizando reconhecimento digital entre dezembro de 2021 e janeiro de 2024, visando a plataforma do Sistema de Identificação Automática (AIS) de um navio com o objetivo de obter acesso à infraestrutura crítica de transporte marítimo.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
