The ultimate weapon
Como a interrupção da AWS derrubou mais de mil sites e aplicativos
Uma falha generalizada na nuvem da Amazon Web Services (AWS) na manhã de segunda-feira, 20 de outubro, resultou na paralisação de uma vasta gama de plataformas digitais em todo o mundo, afetando setores cruciais como comunicação, finanças, saúde, educação e serviços governamentais. O incidente, que se estendeu por aproximadamente 15 horas, expôs a profunda dependência global da infraestrutura da Amazon.
Acredita-se que a raiz do problema tenha sido uma falha de resolução no Sistema de Nomes de Domínio (DNS) que afetou as interfaces de programação de aplicativos (APIs) do seu serviço de banco de dados, o DynamoDB, na região Leste dos EUA (US-EAST-1). O DNS atua como a "lista telefônica" da internet, traduzindo nomes de domínio legíveis por humanos em endereços de IP numéricos que os computadores utilizam para se conectar. A falha nesse sistema gerou um efeito cascata, impactando outros 141 serviços da AWS.
A interrupção teve início por volta das 3h da manhã (horário da costa leste dos EUA), com os primeiros relatos de instabilidade em diversos websites e aplicativos populares. A AWS confirmou o problema em suas atualizações de status e informou que "todos os serviços da AWS retornaram às operações normais" às 18h01 (horário da costa leste dos EUA) da mesma segunda-feira.
Analistas e pesquisadores que acompanharam o incidente destacaram a longa duração da interrupção como um ponto crítico. Problemas de DNS são uma causa relativamente comum de interrupções na internet, mas a extensão e o tempo de recuperação neste caso foram notáveis.
A falha impediu que aplicações encontrassem os endereços corretos para se conectar aos serviços da AWS, resultando em erros e na indisponibilidade de conteúdo para milhões de usuários. Empresas e serviços de renome, como Snapchat, Reddit, iFood e Mercado Livre, estiveram entre os afetados.
Até o momento da publicação, a AWS não havia detalhado publicamente os motivos do longo período de recuperação. Um porta-voz da companhia afirmou que a empresa planeja divulgar um "resumo pós-evento" com uma análise detalhada do incidente.
Sedução e espionagem: como espiãs estão mirando o Vale do Silício
Os segredos das grandes empresas do Vale do Silício correm perigo. De acordo com o jornal britânico The Times, China e Rússia estariam enviando espiãs com o objetivo de seduzir profissionais de tecnologia e obter segredos corporativos de alto escalão, diretamente de fontes internas. Em alguns casos, as espiãs vão longe a ponto de se casarem e terem filhos com seus respectivos alvos.
Uma das pessoas afetadas por essa campanha foi James Mulvenon, diretor de inteligência da empresa Pamir Consulting, que fornece análise de risco para empresas americanas que querem investir na China. Segundo Mulvenon, todos os dias ele recebe uma quantidade enorme de solicitações de conexões de mulheres chinesas e atraentes em seu LinkedIn. Além disso, ele também contou como, em uma conferência sobre investimentos em negócios chineses na Virgínia, “duas jovens e atraentes chinesas tentaram, a todo custo, entrar no evento”, mesmo sem convite.
Quem conta outro caso similar é um ex-agente de contrainteligência, que permaneceu não-identificado, mas que também atuou diretamente com fundadores do Vale do Silício na condução de investimentos no exterior, que disse ter investigado o caso de uma “bela” mulher russa que trabalhava em uma empresa aeroespacial e se casou com um colega americano.
Ele descobriu que ela havia frequentado uma academia de modelos, mas depois passou por uma “escola de soft power russa”, antes de desaparecer por uma década e reaparecer nos Estados Unidos como especialista em criptomoedas. De acordo com o ex- agente, no entanto, ela não deseja permanecer no ramo de criptomoedas: “Ela está tentando alcançar os altos círculos da comunidade de inovação militar e espacial. O marido está totalmente alheio a isso.”
Roubo de segredos comerciais causa um prejuízo estimado de até US$ 600 bilhões por ano aos contribuintes americanos, sendo a China apontada como a principal fonte dessas perdas. Em 2023, Klaus Pflugbeil, morador de Ningbo, na China, tentou vender a agentes disfarçados informações sigilosas roubadas da Tesla por US$ 15 milhões durante uma conferência em Las Vegas, e foi condenado a dois anos de prisão. Ele e seu cúmplice, Yilong Shao (ainda foragido), teriam usado os segredos industriais obtidos quando trabalhavam em uma empresa canadense adquirida pela Tesla em 2019 para criar um negócio concorrente na China.
Por outro lado, Jeff Stoff, um acadêmico de segurança e ex-analista segurança nacional do governo dos Estados Unidos, disse que muito do que a China estava fazendo não era ilegal. Em vez disso, eles estavam, simplesmente, explorando vulnerabilidades e brechas regulatórias no mundo corporativo americano. “É o Velho Oeste lá fora”, disse Stoff, completando que “os chineses entendem o nosso sistema e sabem como operar dentro dele com praticamente total impunidade – na maior parte do tempo”.
ChatGPT Atlas e navegadores integrados com IA podem estar em risco
A empresa de segurança em navegadores SquareX demonstrou uma nova técnica de ataque, denominada “AI Sidebar Spoofing”, capaz de enganar usuários por meio de extensões maliciosas de navegador. Com o objetivo de aplicar golpes e instalar malware nos dispositivos das vítimas, os criminosos criam réplicas perfeitas das barras laterais de inteligência artificial, como as utilizadas nos navegadores ChatGPT Atlas e Comet.
De acordo com a SquareX, a vulnerabilidade não se restringe aos navegadores de IA, Edge, Chrome, Firefox e Brave também estão suscetíveis ao ataque. Barras laterais de inteligência artificial funcionam como assistentes virtuais integrados ao navegador, geralmente são exibidas na lateral da tela e são capazes de analisar o conteúdo da página ou executar ações a partir de comandos do usuário.
Os responsáveis pelo ataque induzem a vítima a instalar uma extensão maliciosa, que pode ter sido desenvolvida do zero ou modificada a partir de uma extensão legítima, capaz de injetar código JavaScript para exibir uma falsa barra lateral idêntica à original. “Uma vez que o usuário insere um comando na barra lateral de IA falsificada, a extensão conecta-se ao seu modelo de linguagem para gerar uma resposta. Entretanto, a diferença crucial é que, ao detectar comandos que solicitam determinadas instruções, as respostas serão manipuladas para incluir passos maliciosos que o usuário acabará executando” explicou a SquareX. Assim, as respostas podem levar o usuário a conceder acesso remoto ao sistema ou a ser encaminhado para sites de phishing.
Além das extensões, esse tipo de ataque também pode ser reproduzido em sites que possuem a barra lateral de IA integrada, embora a técnica baseada em extensões seja mais preocupante, por ser executada em qualquer página que for acessada.
A SquareX reportou as descobertas à OpenAI e à Perplexity, mas é importante ressaltar que ataques que dependem da interação do usuário são difíceis de eliminar completamente.
Patches & Updates
Adobe: Agentes maliciosos estão explorando ativamente uma vulnerabilidade de gravidade crítica no Adobe Commerce e no Magento Open Source identificada como CVE-2025-54236 (pontuação CVSS de 9,1). Trata-se de um problema de validação de entrada indevida, levando à violação de recursos de segurança. Em 9 de setembro, a Adobe lançou correções para a falha de segurança, solicitando aos usuários das versões Commerce e Magento Open Source entre 2.4.4 e 2.4.7 que atualizassem suas implantações.
TARmageddon: Uma vulnerabilidade de alta gravidade na lib Rust Async-tar (CVE-2025-62518, pontuação CVSS de 8.1) pode fazer com que atacantes contrabandeiem entradas de arquivo e executem código arbitrário remotamente. A falha também pode ser explorada em ataques à cadeia de suprimentos, sequestrando backends de build. Como a biblioteca vulnerável, Async-tar, e sua bifurcação mais popular, Tokio-tar, foram abandonadas, os mantenedores responsáveis decidiram remover a dependência ou migrar para o Astral-tokio-tar, que foi atualizado (versão 0.5.6) para corrigir o bug. Com as correções implementadas para o Astral-tokio-tar e o Krata-tokio-tar, recomenda-se que os usuários downstream migrem para essas bibliotecas corrigidas ou modifiquem os analisadores TAR para priorizar os cabeçalhos PAX para determinação de tamanho, validar a consistência dos cabeçalhos e adicionar uma verificação rigorosa de limites para evitar confusão de cabeçalhos.
TP-Link: De acordo com a gigante do setor de redes de internet, existem vulnerabilidades críticas afetando seus dispositivos de gateway de rede Omada, especialmente os de série ER, G e FR. A vulnerabilidade mais séria, CVE-2025-6542, permite a execução arbirtrária de comandos de sistema operacional diretamente no sistema afetado. Além dela, a CVE-2025-7850 também afeta estes dispositivos e permite a um atacante autenticado a injeção de código. Outras vulnerabilidades incluem a CVE-2025-7851 que permite a elevação de privilégios até o nível root a um atacante e a CVE-2025-6541, que concede a possibilidade de execução de comandos de sistema operacional a um atacante autenticado. Estas falhas foram corrigidas na última versão do firmware dos produtos Omada. Atualizem!
Destaques pelo mundo
Jaguar Land Rover: O ataque cibernético à Jaguar Land Rover, que aconteceu no final de agosto de 2025, tem tudo para ser o mais caro da história, ao menos no Reino Unido. De acordo com as estimativas do Cyber Monitoring Centre, uma entidade sem fins lucrativos e que classifica incidentes no mundo digital, o prejuízo gerado pelo ataque à JLR gira em torno de 1.9 bilhões de libras esterlinas, o equivalente a mais de 7 bilhões de reais. Além disso, o incidente afetou cerca de 5 mil organizações ao todo, incluindo manufatura, cadeia de suprimento e concessionárias.
Jingle Thief: Pesquisadores de cibersegurança da Palo Alto descobriram uma campanha que está alvejando ambientes na cloud associados com empresas no setor de varejo relacionadas a “cartões de presente”. De acordo com a pesquisa, atacantes estão usando emails e SMS fraudulentos para roubar credenciais, comprometerem organizações e emitirem cartões de presente falso em uma campanha conhecida como “Jingle Thief”. O objetivo dos criminosos é revender estes cartões no mercado paralelo. A campanha tem sido atribuída aos grupos Atlas Lion e Storm-0539.
Rússia: De acordo com a Recorded Future, em sua conferência Predict ocorrida em Manhattan no início de outubro, as autoridades russas estão revogando o porto seguro historicamente oferecido a certos cibercriminosos de menor expressão. "A principal conclusão é que a Rússia está fazendo concessões ao Ocidente", analisa Alex Leslie, especialista em inteligência de ameaças da Recorded Future. "No passado, vigorava uma regra não declarada: um criminoso cibernético não seria processado, contanto que não visasse organizações e indivíduos russos. Essa realidade foi alterada." As razões para essa mudança de estratégia por parte da Rússia são complexas e ainda incertas.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
