PacificNews#237: The Enigma
Microsoft vai desativar criptografia que possibilitou década de invasões ao Windows
A Microsoft anunciou que, até meados de 2026, irá desativar por padrão o uso do algoritmo de criptografia RC4 nos controladores de domínio do Windows Server 2008 e versões posteriores. A mudança afetará o Centro de Distribuição de Chaves (KDC) do Kerberos, que passará a permitir apenas a criptografia AES-SHA1.
Segundo Matthew Palko, gerente da divisão de software da empresa, o Rivest Cipher 4 (RC4) só poderá ser utilizado se um administrador de domínio o habilitar explicitamente para uma conta específica ou para o próprio KDC.
O RC4 foi adotado pela Microsoft no lançamento do Active Directory, em 2000, como o principal mecanismo de proteção do serviço, amplamente usado por administradores para gerenciar contas em grandes organizações. No entanto, o algoritmo teve sua segurança questionada poucos dias após seu vazamento, em 1994, quando pesquisadores demonstraram ataques criptográficos capazes de enfraquecê-lo significativamente.
Apesar das falhas conhecidas, o RC4 continuou sendo amplamente empregado em protocolos de segurança, como SSL e TLS, até cerca de uma década atrás. Mais tarde, a Microsoft passou a oferecer suporte ao padrão AES, considerado muito mais robusto, mas manteve a compatibilidade com o RC4 por padrão para garantir a interoperabilidade com sistemas legados.
Essa compatibilidade, no entanto, tornou-se um vetor frequente de ataques, sendo explorada por invasores para comprometer redes corporativas. Com a mudança prevista para o próximo ano, a autenticação baseada em RC4 deixará de funcionar automaticamente.
Palko alertou que é essencial que administradores identifiquem sistemas em suas redes que ainda dependam do RC4. Embora vulnerável, o algoritmo segue sendo o único método de autenticação utilizado por alguns softwares legados de terceiros, que podem permanecer ocultos na infraestrutura mesmo sendo críticos para a operação.
Por trás de uma campanha de phishing envolvendo um PDF de compra falsa
A empresa Malwarebytes promoveu uma análise em uma campanha de phishing que está tomando conta da internet. Você recebe em seu e-mail um arquivo PDF chamado “OrdemDeCompra#12576537.pdf”. Você até suspeita, mas talvez tenha feito alguma compra online recentemente e pensa que pode ser de um produto legítimo. Então, você decide abrir o arquivo em seu computador. O que acontece a partir daí? Vamos entender o que está por trás desta potencial ameaça.
O conteúdo visível do PDF, em um primeiro momento, trás um botão que faz o receptor da mensagem ir até um site conferir a ordem de compra. O site de destino é um visualizador de PDF web e que, para a surpresa de alguns, traz um campo de login para que você possa acessar o documento. Neste campo de login, entretanto, o seu e-mail já vem preenchido por padrão, somente cabendo ao usuário preencher com sua senha. Muito conveniente e, claramente, um phishing para coletar credenciais, sobretudo, de contas corporativas. Mas não para por aí.
Ao analisar o conteúdo do código-fonte da página, Pieter Arntz, analista de ameaças da Malwarebytes, percebeu que se tratava, provavelmente, de um template bem genérico e pouco revelador, o que indica fácil implementação e alta rotatividade deste ataque. No formulário de login, no entanto, havia um arquivo Javascript completamente ofuscado e muito longo, que continha uma gama de funções.
Uma das funções principais do script usa o serviço “ipapi”, uma REST API de geolocalização que faz o trabalho de coletar o máximo de informações da vítima, como dados de IP, localização completa (região, cidade e Estado) e informações sobre o provedor de internet.
Com todas essas informações reunidas, uma outra função no Javascript envia os dados de localização e as credenciais inseridas no formulário diretamente para um bot no Telegram em uma requisição POST. Agora um atacante, em qualquer parte do mundo, tem acesso a suas credenciais, localização e informações de provedor de internet, que podem ser usadas para golpes subsequentes. Tudo a partir de um e-mail falso de uma ordem de compra.
As mitigações para este tipo de campanha, que seguem em um grande volume em todo o mundo, são simples: nunca clique em links recebidos por anexo de fontes que você não conhece e confia; não trate arquivos de PDF como sendo diferente de executáveis ou pastas zipadas, ou seja, desconfie sempre que receber um e, finalmente, sempre confirme o endereço de qualquer site que esteja pedindo para você fazer login.
Perfis falsos gerados por IA no TikTok são expostos após ataque cibernético
Um ataque cibernético revelou a operação de uma empresa que mantém centenas de perfis falsos no TikTok para promover produtos. A empresa, Doublespeed, utiliza personagens criados por inteligência artificial para simular influenciadores e gerar alcance em campanhas publicitárias.
O atacante obteve acesso a mais de 1.100 celulares utilizados para operar essas contas, explorando uma vulnerabilidade que permitiu identificar os modelos dos telefones, as contas falsas e os produtos promovidos. Das cerca de 400 contas analisadas, aproximadamente 200 estavam ativamente divulgando produtos, como aplicativos de idiomas, de relacionamento e de leitura religiosa, além de suplementos e massageadores, muitas vezes sem informar que o conteúdo era gerado por IA.
Essa estrutura, conhecida como “fazenda de celulares”, simula a atividade humana e contorna as regras do TikTok, que proíbe interações artificiais e exige a sinalização de conteúdos gerados por inteligência artificial. Após o alerta, a plataforma removeu alguns dos vídeos denunciados.
Mesmo após a exposição, a Doublespeed segue em expansão, anunciando planos de levar seus perfis gerados por IA para outras redes sociais, como Instagram, X e Reddit.
Patches & Updates
SonicWall: A empresa SonicWall alertou aos seus clientes que façam uma atualização de segurança nas interfaces de gerenciamento SonicWall SMA1000 (AMC). O motivo? Uma vulnerabilidade está sendo explorada em ataques zero-day para elevação de privilégio nas interfaces. Apesar da falha de segurança (CVE-2025-40602) ter apenas uma criticidade média, ela está sendo combinada com outras falhas, como a CVE-2025-23006, para chegar a um nível preocupante de exploração. Atualizem para a versão de build 12.4.3-02854.
HPE: A Hewlett Packard Enterprise anunciou, nesta semana, correções para uma vulnerabilidade crítica — a CVE-2025-37164 (pontuação CVSS 10.0) — que permite execução remota de código em seu software de gerenciamento de infraestrutura de TI, o OneView. A falha de segurança pode ser explorada sem autenticação, conforme informado pela empresa em um breve comunicado. O problema afeta todas as versões do OneView até a versão 10.20. A empresa lançou correções para os usuários do OneView e recomenda a atualização das versões 6.60.xx para a versão 7.00 antes da aplicação do patch. As instalações do HPE Synergy Composer também devem ser atualizadas.
Asus: A agência de cibersegurança dos EUA, a CISA, alertou na quarta-feira que agentes maliciosos estavam explorando uma vulnerabilidade crítica, identificada como CVE-2025-59374 (pontuação CVSS 9,3), no utilitário Asus Live Update, agora descontinuado. Trata-se de uma vulnerabilidade relacionada à inserção de código malicioso embutido. A porta dos fundos foi introduzida por meio de uma violação da cadeia de suprimentos, e os dispositivos afetados poderiam ser usados indevidamente para realizar ações não intencionais, caso determinadas condições fossem atendidas. O alerta faz referência à Operação ShadowHammer, um sofisticado ataque à cadeia de suprimentos conduzido em 2018 por hackers patrocinados pelo Estado chinês. Como parte do ataque, o grupo injetou uma porta dos fundos no Asus Live Update, um utilitário pré-instalado na maioria dos dispositivos Asus, utilizado para a atualização automática de BIOS, UEFI, drivers e outros componentes. O ataque foi descoberto em janeiro de 2019, e a Asus lançou uma correção em março do mesmo ano. No início deste mês, a Asus informou que o suporte ao aplicativo Asus Live Update foi descontinuado. A última versão do utilitário é a 3.6.15.
Destaques pelo mundo
React2Shell: De acordo com a Microsoft, a falha de segurança crítica no React, também conhecida como CVE-2025-55182 (ou React2Shell) está sendo explorada e culminando com a invasão de inúmeras máquinas em diversas organizações. A exploração ocorre, principalmente, para executar código remotamente, instaurar malware e, inclusive, iniciar um ataque de ransomware. Não se trata mais de uma prova de conceito, mas ataques acontecendo no mundo real. As fontes da Microsoft sugerem que estas explorações aconteceram logo após a falha se tornar pública, se espalhando rapidamente pela rede. Não se sabe ao certo quantas vítimas foram afetadas, mas, de acordo com dados da Palo Alto, ao menos 50 organizações já foram afetadas, com o número real tendendo a ser muito maior.
Cisco: Um grupo de ameaças com ligações à China está comprometendo dispositivos de segurança de email da Cisco (Cisco Secure Email), tanto físicos quanto virtuais, com o objetivo de implantar backdoors. De acordo com a Cisco Talos, estes ataques estão acontecendo desde novembro de 2025, explorando a falha CVE-2025-20393, que permite a execução arbitrária de comandos com privilégios root no sistema afetado. Até o momento, não se sabe quantos dispositivos foram afetados e ainda não há correção oficial para a vulnerabilidade. Se um dispositivo tiver sido identificado com a interface de gerenciamento web ou a porta de Quarentena de Spam expostas e acessíveis a partir da internet, a Cisco recomenda veementemente seguir um processo de várias etapas para restaurar o dispositivo para uma configuração segura, quando possível, ou contatar diretamente o Cisco TAC, que pode remotamente checar se um dispositivo foi comprometido.
Cripto: De acordo com o Relatório de Crimes com Criptomoedas da Chainalysis, compartilhado com o The Hacker News, agentes maliciosos ligados à República Popular Democrática da Coreia (RPDC, ou Coreia do Norte) impulsionaram um aumento no roubo global de criptomoedas em 2025. Eles foram responsáveis por pelo menos US$2,02 bilhões dos mais de US$3,4 bilhões roubados entre janeiro e o início de dezembro. “Este é o ano mais grave já registrado para o roubo de criptomoedas pela RPDC em termos de valor subtraído, com ataques atribuídos ao país também representando um recorde de 76% de todas as invasões de serviços”, afirmou a empresa de inteligência em blockchain.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
