Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🌐 Web: Vulnerabilidades em Plataformas e Ferramentas
Resumo da Ameaça
A ameaça cibernética não pára, e essa semana é um exemplo disso. Novas riscos, novas táticas e novas brechas de segurança estão surgindo em plataformas, ferramentas e indústrias – frequentemente ao mesmo tempo. A edição atual do ThreatsDay Bulletin traz esses sinais para um lugar único. Escaneie a rodada para atualizações rápidas e claras sobre o que está acontecendo no cenário de segurança e hacking.
Impacto e Mitigação
– Privacidade fortalecida em Android: A Google anunciou a primeira versão beta do Android 17, com duas melhorias de privacidade e segurança: a depreciação do Tráfego de Texto Claro e o suporte a Criptografia Híbrida de Chave Pública (HPKE) para habilitar comunicação segura usando uma combinação de criptografia de chave pública e simétrica (AEAD). A Google alertou que se o aplicativo alvo (Android 17) ou superior e depender de usesCleartextTraffic=’true’ sem uma configuração de segurança de rede correspondente, ele defaultará a desabilitar o tráfego claro.
– RaaS se expande para plataformas cruzadas: Uma análise recente do LockBit 5.0 revelou que a versão para Windows inclui várias técnicas de evasão de defesa e análise anti, incluindo embalagem, desmontagem de DLL, processos de furos, patchagem de Event Tracing for Windows (ETW) e limpeza de registros. O LockBit 5.0 também introduz construções dedicadas para ambientes empresariais, destacando a evolução contínua das operações de ransomware-as-a-service (RaaS).
– Usuários Mac atraídos por obfuscação aninhada: Pesquisadores de segurança informaram uma nova evolução do ClickFix, uma tática de engenharia social que visa usuários macOS. O ClickFix, chamado Matryoshka devido às suas camadas de obfuscação aninhadas, usa um fluxo de instalação/fixação falso para enganar os usuários a executar um comando Terminal malicioso. A campanha visa principalmente usuários que tentam acessar sites de revisão de software, usando typosquatting no nome do URL para redirecioná-los para sites falsos e ativar a cadeia de infecção.
– Loader de pipeline impulsiona tomada de domínio rápida: Outra campanha de ClickFix detectada em fevereiro de 2026 foi observada entregando um loader de malware-as-a-service (MaaS) conhecido como Matanbuchus 3.0. A Huntress, que desmontou a cadeia de ataque, disse que o objetivo final da intrusão era implantar ransomware ou exfiltrar dados com base no fato de que o ator ameaçador progrediu rapidamente desde o acesso inicial até a movimentação lateral para controladores de domínio por meio de PsExec, criação de contas rogue e exclusão de Microsoft Defender. A ataque também levou à implantação de um implante personalizado chamado AstarionRAT que suporta 24 comandos para facilitar a roubo de credenciais, proxy SOCKS5, varredura de portas, carregamento de código reflexivo e execução de shell.
– Cadeia de typosquat alvo credenciais de Mac: Em outra campanha de ClickFix, os atores ameaçadores estão confiando no “truque confiável” para hospedar instruções maliciosas em sites falsos disfarçados como Homebrew (“homabrews[.]org”) para enganar os usuários a colar as instruções no aplicativo Terminal sob o pretexto de instalar o gerenciador de pacotes macOS. Na cadeia de ataque documentada pela Hunt.io, as comandos no domínio Homebrew typosquatted são usados para entregar um carregador de credenciais e um infostealer de Mac de segunda etapa chamado Cuckoo Stealer. “O loop de instalação injetado se repetiu em prompts de senha usando ‘dscl . -authonly’, garantindo que o ator obtivesse credenciais funcionais antes de implantar a segunda etapa,” disse a Hunt.io. “Cuckoo Stealer é um infostealer de Mac completo e RAT: Ele estabelece persistência de agente de lançamento, remove atributos de quarentena e mantém comunicações de comando e controle HTTPS criptografadas. Ele coleta credenciais de navegador, tokens de sessão, dados de Keychain de Mac, anotações de Apple, sessões de mensagens, configurações de VPN e FTP e mais de 20 aplicativos de carteira de criptomoedas.”
– Parceiro Phobos preso na Europa: Autoridades da Polônia Central Bureau for Combating Cybercrime (CBZC) prenderam um homem de 47 anos suspeito de ligações com o grupo Phobos de ransomware. Ele enfrenta uma sentença de prisão potencial de até cinco anos. A CBZC disse que o “47 anos usou mensagens criptografadas para entrar em contato com o grupo Phobos criminal, conhecido por ataques de ransomware,” adicionando que os dispositivos do suspeito continham logins, senhas, números de cartão de crédito e endereços IP de servidor que poderiam ter sido usados para lançar “várias ataques, incluindo ransomware.” A prisão faz parte da Operação Aether da Europol, que visa o grupo 8Base de ransomware, acreditado estar ligado ao Phobos. Foi quase exatamente um ano desde que a lei internacional desmantelou a equipe 8Base. Mais de 1.000 organizações ao redor do mundo foram alvo de ataques de ransomware Phobos, e os cibercriminosos são acreditados terem obtido mais de US$ 16 milhões em pagamentos de resgate.
– Pico de ransomware industrial acelera: Há um aumento acentuado no número de grupos de ransomware que visam organizações industriais, enquanto os cibercriminosos continuam a explorar vulnerabilidades em tecn
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🏦 Ploutus Malware: Ameaça aos Caixas Eletrônicos
Resumo da Ameaça
A Agência Federal de Investigação (FBI) alertou que americanos perderam mais de $20 milhões no ano passado em decorrência de um surto massivo de ataques de “jackpotting” em caixas eletrônicos, nos quais criminosos usam malware para forçar máquinas a dispensar dinheiro. Mais de 700 incidentes de jackpotting foram relatados no ano passado, representando um aumento significativo em relação aos cerca de 1.900 incidentes totais registrados nos Estados Unidos desde 2020.
Impacto e Mitigação
Esses ataques podem ser realizados em minutos e visam a camada de software que controla a hardware física dos caixas eletrônicos, utilizando ferramentas maliciosas como o Ploutus malware. A maioria desses ataques passa despercebida por instituições financeiras e operadores de caixas eletrônicos até que o dinheiro já tenha sido roubado. Para prevenir esses ataques, a FBI recomenda que as instituições financeiras auditem seus sistemas de caixas eletrônicos em busca de sinais de uso de armazenamento removível não autorizado e processos não autorizados. Além disso, a integridade de imagem de ouro pode ajudar a identificar eventos de intrusão física e instalação de malware que evitariam a monitorização baseada em rede.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Web – Vulnerabilidade Starkiller
Resumo da Ameaça
O Starkiller é uma ferramenta de Phishing como Serviço (PhaaS) que permite aos atacantes bypassar métodos tradicionais de detecção de phishing, incluindo a autenticação multifator (MFA). Com uma interface de usuário atraente e fácil de usar, o Starkiller permite que os atacantes criem URLs de phishing convincentes que imitam sites legítimos, e até mesmo proxyam os sites reais que os usuários desejam visitar, permitindo que os atacantes roubem as credenciais dos usuários.
Impacto e Mitigação
O Starkiller representa uma mudança significativa na infraestrutura de phishing, com atacantes se movendo em direção a compromissos em tempo real e sessões conscientes, em vez de apenas coletar credenciais. Para mitigar essa ameaça, as organizações devem se concentrar na detecção comportamental e consciente de identidade, monitorando sinais de sessões comprometidas, como sinais de login anômalos, reuso de tokens de sessão e padrões de viagem impossíveis. Além disso, é importante questionar se a sessão autenticada comporta-se como o usuário legítimo, em vez de apenas verificar se a autenticação MFA foi concluída.
Fonte de Referência: darkreading.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🛡️ Ploutus: Ameaça de Jackpotting em Caixas Eletrônicos
Resumo da Ameaça
A Federal Bureau of Investigation (FBI) dos Estados Unidos alertou sobre um aumento nos incidentes de jackpotting em caixas eletrônicos em todo o país, resultando em perdas de mais de $20 milhões em 2025. Desde 2020, foram registrados 1.900 incidentes de jackpotting, dos quais 700 ocorreram no ano passado. Em dezembro de 2025, o Departamento de Justiça (DoJ) dos EUA informou que cerca de $40,73 milhões foram coletivamente perdidos para ataques de jackpotting desde 2021.
Impacto e Mitigação
Os atores ameaçadores exploram vulnerabilidades físicas e de software em caixas eletrônicos e implantam malware para dispensar dinheiro sem uma transação legítima. Os ataques de jackpotting envolvem o uso de malware especializado, como o Ploutus, para infectar caixas eletrônicos e forçá-los a dispensar dinheiro. Em muitos casos, cibercriminosos foram observados obtendo acesso não autorizado aos dispositivos abrindo a face do caixa eletrônico com chaves genéricas amplamente disponíveis.
Para mitigar os riscos de jackpotting, a FBI recomenda que as organizações adotem medidas como:
– Aumentar a segurança física instalando sensores de ameaças, configurando câmeras de segurança e mudando fechaduras padrão em dispositivos de caixa eletrônico;
– Auditorias de dispositivos de caixa eletrônico;
– Mudar credenciais padrão;
– Configurar um modo de desligamento automático quando detectados indicadores de comprometimento;
– Implementar listagem de dispositivos permitidos para prevenir conexão de dispositivos não autorizados;
– Manter registros.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️ Zero-Day: Transição para Criptografia Pós-Quantum
Resumo da Ameaça
A State Department alertou para a necessidade de coordenação entre o setor público e privado para transitar sistemas, dispositivos e dados para algoritmos de criptografia resistentes ao quantum. O objetivo é criar um ecossistema digital mais resiliente contra ameaças a longo prazo, como ataques cibernéticos habilitados por computadores quânticos.
Impacto e Mitigação
A transição para criptografia pós-quantum não é apenas uma questão de atualizar tecnologia para realizar funções de segurança de forma mais eficaz. É necessário redefinir a superfície de ameaças e “quebrar algumas das tendências previsíveis a partir de nossos dados históricos”. A State Department está explorando a possibilidade de análise de cadeia de ataques preditivos, utilizando dados históricos e planejamento para prever “onde estaremos no futuro”.
Fonte de Referência: cyberscoop.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Ransomware e Espionagem Cibernética: Nova Era de Ameaças 20 de Fevereiro, 2026
- Salt Typhoon e Infostealers: Ameaças Cibernéticas em Ação 19 de Fevereiro, 2026
- VoIP e Malware: Uma Dupla Ameaça Cibernética 19 de Fevereiro, 2026
- Android Banking Malware e Hacks de Zero-Day: Alerta no Boletim de Segurança Cibernética 19 de Fevereiro, 2026
- VoIP e Malware: Uma Ameaça Dupla à Segurança 18 de Fevereiro, 2026
