Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🕵️ Ameaça APT28: Malware BadPaw e MeowMeow
Resumo da Ameaça
Os pesquisadores de segurança informaram detalhes de uma nova campanha cibernética russa que visou entidades ucranianas com duas famílias de malware não documentadas anteriormente, nomeadas BadPaw e MeowMeow. A cadeia de ataque começa com um e-mail de phishing contendo um link para um arquivo ZIP. Uma vez extraído, um arquivo HTA inicial exibe um documento de tentação escrita em ucraniano sobre apelos de fronteira para enganar a vítima.
Impacto e Mitigação
A campanha foi atribuída com confiança moderada ao ator de ameaça patrocinado pelo Estado russo conhecido como APT28, com base no footprint de alvo, na natureza geopolítica das tentações usadas e nas sobreposições com técnicas observadas em operações cibernéticas russas anteriores. A carga útil principal é um backdoor .NET chamado MeowMeow, que pode executar comandos PowerShell remotos no host comprometido e realizar operações de sistema de arquivos, como ler, escrever e deletar dados.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Tycoon 2FA: Phishing Kit Dismantled
Resumo da Ameaça
A Tycoon 2FA é uma ferramenta de phishing como serviço (PhaaS) que permitia a criminosos realizar ataques de credenciais de adversário no meio (AitM) em larga escala. A ferramenta foi desmantelada por uma coalizão de agências de segurança e empresas de segurança. A Tycoon 2FA foi vendida via Telegram e Signal por um preço inicial de $120 por 10 dias ou $350 por acesso a um painel de administração web por um mês. O desenvolvedor principal da ferramenta é Saad Fridi, que é acusado de estar baseado no Paquistão.
Impacto e Mitigação
A Tycoon 2FA gerou tens de milhões de e-mails de phishing por mês e facilitou o acesso não autorizado a cerca de 100.000 organizações globais, incluindo escolas, hospitais e instituições públicas. A ferramenta foi usada para realizar ataques de phishing em larga escala, com mais de 64.000 incidentes de phishing e mais de 30 milhões de e-mails de phishing bloqueados por mês. A Tycoon 2FA foi responsável por cerca de 62% de todos os tentativas de phishing bloqueadas pela Microsoft em 2025. A ferramenta foi desmantelada e 330 domínios que formavam a base da ferramenta foram tomados.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
💸 Phobos Ransomware: Operação Aether e Consequências
Resumo da Ameaça
O Phobos é um ransomware-as-a-service (RaaS) de longa duração, vinculado à família Crysis, que foi amplamente distribuído por meio de muitos afiliados, responsável por cerca de 11% de todas as submissões ao serviço ID Ransomware entre maio de 2024 e novembro de 2024. A operação foi liderada por Evgenii Ptitsyn, um cidadão russo que confessou culpa por um crime de conspiração de fraude por meio de fios relacionado ao seu papel na administração da operação Phobos.
Impacto e Mitigação
A operação Phobos coletou pagamentos de resgate superiores a $39 milhões de dólares de mais de 1.000 entidades públicas e privadas em todo o mundo. A operação foi desmantelada em parte graças à “Operação Aether”, uma ação internacional coordenada pela Europol que visou o gangue Phobos. A operação resultou na detenção de suspeitos, na apreensão de computadores e dispositivos móveis contendo dados roubados e na advertência de mais de 400 empresas em todo o mundo sobre ataques de ransomware em andamento ou iminentes.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Web: CVE-2026-20128 e CVE-2026-20122 em Cisco Catalyst SD-WAN Manager
Resumo da Ameaça
A Cisco anunciou a existência de duas vulnerabilidades em seu software de gerenciamento de SD-WAN (Catalyst SD-WAN Manager), que são ativamente exploradas no mundo real. As vulnerabilidades são CVE-2026-20128 e CVE-2026-20122.
Impacto e Mitigação
A vulnerabilidade de sobreescrita de arquivo arbitrário (CVE-2026-20122) pode ser explorada por atacantes remotos com credenciais de leitura-gravação válidas e acesso à API. Já a vulnerabilidade de divulgação de informações (CVE-2026-20128) requer atacantes locais com credenciais válidas do vManage nos sistemas alvos.
A Cisco recomenda fortemente que os clientes atualizem para uma versão de software corrigida para remediar essas vulnerabilidades. Além disso, a empresa alertou que essas vulnerabilidades afetam o software de gerenciamento de SD-WAN, independentemente da configuração do dispositivo.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 LeakBase: Plataforma de Mercado de Dados Roubados Desativada
Resumo da Ameaça
As autoridades de 14 países desativaram a plataforma de mercado de dados roubados LeakBase, confiscaram seus domínios e prenderam múltiplos indivíduos envolvidos no mercado de dados roubados e ferramentas de hacking, de acordo com o Departamento de Justiça. A plataforma, que contava com mais de 142.000 membros, era uma das maiores fóruns de cibercriminosos do mundo.
Impacto e Mitigação
A desativação da plataforma LeakBase implica uma significativa redução na disponibilidade de dados roubados e ferramentas de hacking para cibercriminosos. Além disso, a ação das autoridades demonstra a capacidade de cooperação internacional em combate ao crime cibernético. No entanto, é importante notar que a desativação de uma plataforma não elimina completamente a ameaça, pois cibercriminosos podem migrar para outras plataformas ou criar novas. É fundamental que as organizações e indivíduos continuem a tomar medidas de segurança para proteger seus dados e sistemas contra ataques cibernéticos.
Fonte de Referência: cyberscoop.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- FBI e Hospitais em Foco: Vulnerabilidades Críticas 5 de Março, 2026
- Hacktivistas e Exploits: Uma Ameaça Global 4 de Março, 2026
- Boletim de Segurança Cibernética: Alertas e Correções 4 de Março, 2026
- Fake Tech Support Spam e Data Breach: Ameaças em Ação 3 de Março, 2026
- Boletim de Segurança Cibernética: Alertas e Soluções 3 de Março, 2026
