Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🌐 Vulnerabilidade no GitHub Codespaces
Resumo da Ameaça
A vulnerabilidade no GitHub Codespaces, codenominada RoguePilot por Orca Security, permite que atores mal-intencionados sejam capazes de controlar repositórios injetando instruções maliciosas no Copilot do GitHub através de um problema de injeção de prompts passiva ou indireta. Isso ocorre quando um atacante cria um problema no GitHub que contém instruções maliciosas escondidas em um comentário HTML, que são automaticamente processadas pelo Copilot, concedendo ao atacante controle silencioso do agente AI em códigospaces.
Impacto e Mitigação
O impacto dessa vulnerabilidade é significativo, pois permite que os atacantes acessem informações confidenciais, como o GITHUB_TOKEN, sem que o usuário suspeite. A mitigação consiste em atualizar o GitHub para a versão mais recente, que já contém uma correção para essa vulnerabilidade. Além disso, é importante manter os códigospaces atualizados e utilizar práticas de segurança, como a autenticação e a autorização, para evitar que os atacantes acessem informações confidenciais.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Web – Ameaça de Dados Roubados no Wynn Resorts
Resumo da Ameaça
O Wynn Resorts confirmou que um hacker roubou dados de funcionários de seus sistemas após a empresa ser listada no site de extorsão ShinyHunters. A empresa ativou seus procedimentos de resposta a incidentes e lançou uma investigação, com a assistência de especialistas em cibersegurança externos. O ator mal-intencionado afirmou que os dados roubados foram deletados, mas a empresa não confirmou se um resgate foi pago.
Impacto e Mitigação
A ameaça não afetou as operações de hóspedes ou as propriedades físicas da empresa, que permanecem plenamente operacionais. O Wynn Resorts está oferecendo serviços de monitoramento de crédito e proteção de identidade gratuitos para funcionários. É importante notar que a ShinyHunters é um grupo de extorsão de dados conhecido por brechas em organizações e ameaças de publicar dados roubados a menos que um resgate seja pago.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️ Espionagem: Vulnerabilidade Mercenary Akula
Resumo da Ameaça
A Russia-aligned threat actor, conhecida como Mercenary Akula, foi observada atacando uma instituição financeira europeia como parte de um ataque de engenharia social para facilitar a coleta de inteligência ou roubo financeiro. Essa ação pode indicar uma expansão do alvo da ameaça além da Ucrânia e para entidades que apoiam o país devastado.
A atividade, que visou uma entidade anônima envolvida em iniciativas de desenvolvimento e reconstrução regionais, foi atribuída a um grupo de cibercrime rastreado como UAC-0050 (conhecido como DaVinci Group). A BlueVoyant designou o nome Mercenary Akula para o cluster de ameaça. O ataque foi observado no início deste mês.
Impacto e Mitigação
O ataque spoofou um domínio judicial ucraniano para entregar um e-mail contendo um link para um payload de acesso remoto. O alvo foi um conselheiro jurídico e de políticas sênior envolvido em compras, um papel com visão privilegiada nas operações e mecanismos financeiros da instituição.
O ponto de partida é um e-mail de phishing personalizado que usa temas legais para direcionar os destinatários a baixar um arquivo ZIP hospedado no PixelDrain, um serviço de compartilhamento de arquivos usado pela ameaça para bypassar controles de segurança baseados em reputação.
O ZIP é responsável por iniciar uma cadeia de infecção multicamadas. Presente dentro do arquivo ZIP está um arquivo RAR que contém um arquivo 7-Zip protegido por senha, que inclui um executável que se disfarça como um documento PDF usando o truque de dupla extensão amplamente abusado (*.pdf.exe).
A execução resulta na instalação de um MSI do Remote Manipulator System (RMS), um software de desktop remoto russo que permite o controle remoto, compartilhamento de desktop e transferência de arquivos.
“A utilização de ferramentas ‘vivendo na terra’ fornece aos atacantes acesso persistente e furtivo, muitas vezes evitando a detecção tradicional de antivírus”, observaram os pesquisadores.
A utilização do RMS alinha-se ao modus operandi anterior do UAC-0050, com a ameaça conhecida por instalar software de acesso remoto legítimo como o LiteManager e RATs remotos como o RemcosRAT em ataques contra a Ucrânia.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️ Zero-Day Exploits Roubados: Executivo da L3Harris Condenado a 87 Meses de Prisão
Resumo da Ameaça
Um ex-executivo da L3Harris foi condenado a mais de sete anos de prisão após confessar ter vendido oito exploits de zero-day para um intermediário russo em troca de milhões de dólares. O executivo, identificado como Williams, admitiu ter roubado ao menos oito exploits ou componentes de exploits enquanto trabalhava na Trenchant, uma unidade de segurança cibernética especializada proprietária da L3Harris.
Impacto e Mitigação
A venda de exploits de zero-day roubados causou prejuízos estimados em $35 milhões ao contratante. Além disso, o executivo recebeu pagamentos em criptomoedas e usou os ganhos para comprar itens de luxo. O Departamento de Justiça estima que o executivo ganhou $1,3 milhão relacionado às vendas e deve ser ordenado a pagar essa quantia em restituição. A operação de zero-day, conhecida como Operation Zero, foi uma das duas brokeragens de zero-day sancionadas pelo Tesouro dos EUA em uma declaração separada feita na segunda-feira.
Fonte de Referência: cyberscoop.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️ 1Campaign: Serviço de Cibercrime que Evade Escrutínio
Resumo da Ameaça
O serviço de cibercrime conhecido como 1Campaign permite que atores mal-intencionados executem anúncios maliciosos no Google Ads que permanecem online por períodos prolongados, evitando a atenção de pesquisadores de segurança. O 1Campaign é um serviço de mascaramento que passa pelo processo de triagem do Google e exibe conteúdo malicioso apenas para potenciais vítimas reais. Pesquisadores de segurança e scanners automatizados são servidos de páginas brancas benignas.
Impacto e Mitigação
É recomendado que os usuários evitem resultados promovidos de busca ou, no mínimo, os tratem com suspeita. Além disso, é recomendado verificar o URL na barra de endereços antes de entrar com credenciais de conta ou informações sensíveis. Para detecção automática, é recomendado rotacionar por uma variedade de pool de IP e configurações de agente de usuário para evitar impressões digitais consistentes.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- LuciDoor e Claude Queries: Ameaças Cibernéticas Globais 24 de Fevereiro, 2026
- APT28 e Wormable XMRig: Ameaças Cibernéticas Globais 23 de Fevereiro, 2026
- AI-Powered Malware Threatens Global Security 23 de Fevereiro, 2026
- Ransomware e Espionagem Cibernética: Ameaças Globais 22 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Proteja sua Rede 22 de Fevereiro, 2026
