Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🕵️ Operation MacroMaze: Ameaça APT28
Resumo da Ameaça
A APT28, uma ameaça estatal patrocinada ligada à Rússia, foi atribuída a uma nova campanha que visa entidades específicas em Europa Ocidental e Central. A atividade, conforme relatado pelo LAB52, foi ativa entre setembro de 2025 e janeiro de 2026. A campanha foi codenominada Operação MacroMaze. A atividade é baseada em ferramentas básicas e explora serviços legítimos para infraestrutura e exfiltração de dados.
Impacto e Mitigação
A campanha emprega correntes de ataque que utilizam e-mails de pesca personalizados como ponto de partida para distribuir documentos que contêm um elemento estrutural comum em seu XML, um campo chamado “INCLUDEPICTURE” que aponta para uma URL webhook[.]site que hospeda uma imagem JPG. Isso, por sua vez, causa o arquivo de imagem a ser baixado do servidor remoto quando o documento é aberto. A atividade é semelhante a um mecanismo de beaconing que dispara uma solicitação HTTP de saída para a URL webhook[.]site ao abrir o documento.
A equipe de inteligência de ameaças do LAB52 identificou vários documentos com macros ligeiramente ajustados entre o final de setembro de 2025 e janeiro de 2026, todos os quais funcionam como um dropper para estabelecer uma base de atuação no host comprometido e entregar payloads adicionais. A equipe também observou uma evolução nas técnicas de evasão, incluindo a execução de navegador sem cabeça e a simulação de teclado (SendKeys) para potencialmente bypassar prompts de segurança.
A macro é projetada para executar um script de Visual Basic (VBScript) para mover a infecção para a próxima fase. O script, por sua vez, executa um arquivo CMD para estabelecer persistência via tarefas agendadas e lançar um script de lote para renderizar um payload HTML codificado em Base64 em Microsoft Edge em modo sem cabeça para evitar detecção. O script também captura a saída do comando e exfiltra para outra instância webhook[.]site em forma de arquivo HTML.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️ Ameaça de Hacktivismo: Anonymous Fénix
Resumo da Ameaça
A Spanish Civil Guard anunciou a prisão de quatro membros suspeitos de um grupo hacktivo conhecido como Anonymous Fénix, que é suspeito de ter realizado ataques cibernéticos contra ministérios governamentais, partidos políticos e instituições públicas na Espanha e em vários países da América do Sul.
O grupo, que se autodenominou “Anonymous Fénix” e afirmou estar relacionado à coletiva de hackers Anonymous, realizou ataques de negação de serviço distribuídos (DDoS) contra alvos na Espanha e na América do Sul. Eles também usaram as plataformas X e Telegram para espalhar mensagens anti-governamentais e recrutar voluntários para suas campanhas.
Impacto e Mitigação
Os ataques de Anonymous Fénix tiveram um impacto significativo nas instituições públicas espanholas, com várias websites sendo atacadas e danificadas. Além disso, o grupo também foi responsável por disseminar mensagens anti-governamentais e recrutar voluntários para suas campanhas.
A prisão dos membros do grupo e a interrupção de suas atividades são um passo importante para mitigar o impacto desses ataques. Além disso, a Espanha também tomou medidas para proteger suas instituições públicas, incluindo a criação de uma equipe de resposta a incidentes cibernéticos e a implementação de medidas de segurança para proteger suas redes e sistemas.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️♂️ Vulnerabilidade em Software Pirata Exposa Mineração de Criptomoedas
Resumo da Ameaça
Os pesquisadores de segurança informaram detalhes de uma nova campanha de mineração de criptomoedas que utiliza pacotes de software pirata como iscas para implantar um programa de mineração XMRig personalizado em hosts comprometidos. A análise do dropper recuperado, dos gatilhos de persistência e do payload de mineração revelou uma infecção sofisticada, com múltiplas etapas, priorizando o máximo de hashrate de mineração de criptomoedas, frequentemente desestabilizando o sistema vítima.
Impacto e Mitigação
A entrada do ataque é o uso de engenharia social, com decóis que anunciam software premium gratuito em forma de pacotes de software pirata, como instaladores de conjuntos de produtoividade de escritório, para enganar usuários inocentes para baixar executáveis maliciosos. O ataque apresenta capacidades de propagação semelhantes a um vírus, se espalhando por dispositivos de armazenamento removível e permitindo movimento lateral mesmo em ambientes isolados.
A campanha serve como um lembrete potente de que o malware de commodity continua a inovar, ao combinar engenharia social, software legítimo mascarado, propagação semelhante a um vírus e exploração de kernel. A divulgação vem enquanto a Darktrace identificou um artefato de malware provavelmente gerado usando um grande modelo de linguagem (LLM) que explora a vulnerabilidade React2Shell (CVE-2025-55182, CVSS score: 10.0) para baixar uma ferramenta de Python, que utiliza o acesso para implantar um minador XMRig executando um comando de shell.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Webmail Vulnerabilidades no Roundcube
Resumo da Ameaça
A Agência de Segurança e Infraestrutura (CISA) alertou sobre duas vulnerabilidades no Roundcube Webmail que estão sendo ativamente exploradas por atores mal-intencionados. As vulnerabilidades, CVE-2025-49113 e CVE-2025-68461, foram identificadas como críticas e podem ser exploradas remotamente sem autenticação.
Impacto e Mitigação
A exploração dessas vulnerabilidades pode resultar em execução remota de código, o que pode permitir que os atores mal-intencionados acessem e comprometam sistemas confidenciais. A CISA recomendou que as agências federais dos EUA atualizem suas instalações produtivas do Roundcube para as versões 1.6.12 e 1.5.12, que corrigem essas vulnerabilidades. Além disso, a CISA ordenou que as agências federais dos EUA sejam seguras contra essas vulnerabilidades dentro de três semanas, até 13 de março.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- AI-Powered Malware Threatens Global Security 23 de Fevereiro, 2026
- Ransomware e Espionagem Cibernética: Ameaças Globais 22 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Proteja sua Rede 22 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Proteja sua Rede 21 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Alertas e Soluções 21 de Fevereiro, 2026
