Redação YTI&W-News
Este é o Boletim de Inteligência do Yassutaro Security. Uma curadoria executiva das ameaças e incidentes mais críticos registrados nas últimas horas.
🌐 Aeternum C2: Botnet Loader Utiliza Blockchain para Comando e Controle
Resumo da Ameaça
A Aeternum C2 é um novo loader de botnet que utiliza uma infraestrutura de comando e controle (C2) baseada em blockchain para torná-la resistente a esforços de takedown. Em vez de depender de servidores tradicionais ou domínios para comando e controle, a Aeternum armazena suas instruções na blockchain pública Polygon.
Impacto e Mitigação
A Aeternum C2 é uma ameaça significativa devido à sua capacidade de resistir a esforços de takedown tradicionais. Além disso, o malware inclui várias características de análise anti para estender a vida útil das infecções, incluindo verificações para detectar ambientes virtualizados e a capacidade de escanear builds via Kleenscan para evitar detecção por provedores de segurança.
Para mitigar essa ameaça, é recomendável que as organizações monitorem a atividade de blockchain e sejam cautelosas ao interagir com aplicativos descentralizados. Além disso, é importante manter os sistemas atualizados e utilizar soluções de segurança avançadas para detectar e prevenir infecções.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 UAT-10027: Campanha Maliciosa Ataca Setores de Educação e Saúde nos EUA
Resumo da Ameaça
A Cisco Talos identificou uma campanha maliciosa que ataca setores de educação e saúde nos EUA desde pelo menos dezembro de 2025. A campanha é conhecida como UAT-10027 e visa entregar um backdoor não documentado chamado Dohdoor. O Dohdoor utiliza a técnica DNS-over-HTTPS (DoH) para comunicações de controle e comando (C2) e tem a capacidade de baixar e executar outros binários de payload de forma refletiva.
Impacto e Mitigação
Embora o vetor de acesso inicial utilizado na campanha não seja conhecido, é suspeitado que envolva técnicas de engenharia social de phishing, levando à execução de um script de PowerShell. O script então procede a baixar e executar um script de batch de Windows de um servidor de staging remoto, que facilita o download de uma biblioteca dinâmica de Windows (DLL) maliciosa nomeada “propsys.dll” ou “batmeter.dll.” O payload DLL, ou seja, Dohdoor, é lançado por meio de um executável de Windows legítimo (por exemplo, “Fondue.exe”, “mblctr.exe” e “ScreenClippingHost.exe”) utilizando uma técnica chamada carregamento de DLL lateral. O acesso backdoored criado pelo implante é utilizado para recuperar um payload de etapa seguinte diretamente na memória do vínculo e executá-lo. O payload é avaliado como um Beacon de Cobalt Strike.
A ameaça esconde os servidores C2 atrás da infraestrutura da Cloudflare, garantindo que todas as comunicações de saída da máquina vítima apareçam como tráfego HTTPS legítimo para um endereço IP global confiável. Essa técnica bypassa sistemas de detecção baseados em DNS, poços de DNS e ferramentas de análise de tráfego de rede que monitoram consultas de domínio suspeitas, garantindo que as comunicações C2 do malware permaneçam stealth por infraestrutura de segurança de rede tradicional.
O Dohdoor também foi encontrado para desenganchar chamadas de sistema para bypassar soluções de detecção e resposta de ponto final (EDR) que monitoram chamadas de API de Windows por meio de hooks de modo usuário em NTDLL.dll.
Fonte de Referência: thehackernews.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 CVE-2025-71210 e CVE-2025-71211: Vulnerabilidades Críticas no Apex One da Trend Micro
Resumo da Ameaça
A Trend Micro patches duas vulnerabilidades críticas no seu software de segurança de ponta, o Apex One, que permitem a execução remota de código (RCE) em sistemas Windows vulneráveis. As vulnerabilidades, CVE-2025-71210 e CVE-2025-71211, são resultado de uma fraqueza de percurso de caminho no console de gerenciamento do Apex One, permitindo que atacantes sem privilégios executem código malicioso em sistemas não patchados.
Impacto e Mitigação
A exploração dessas vulnerabilidades requer que os atacantes tenham acesso ao console de gerenciamento do Apex One. A Trend Micro recomenda que os clientes atualizem para as últimas builds do Apex One o mais rápido possível, pois mesmo que a exploração exija várias condições específicas, a empresa encoraja fortemente os clientes a atualizar. Além disso, a Trend Micro patchou as vulnerabilidades no Apex One SaaS e liberou a Build de Patch Crítico 14136, que também corrige duas falhas de elevação de privilégio de alta gravidade no agente do Windows e quatro mais afetando o agente do macOS.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🕵️ The Com: Uma Ameaça Global de Cibercrime
Resumo da Ameaça
A Europol lançou o Project Compass, um plano de ação para combater The Com, uma rede nihilista global de milhares de menores e jovens adultos envolvidos em atividades de cibercrime, incluindo violência física e extorsão. A operação, coordenada pela Europol com o apoio de 28 países, incluindo todos os membros dos Cinco Olhos, resultou na prisão de 30 suspeitos desde o início do projeto em janeiro de 2025.
Impacto e Mitigação
A The Com é uma ameaça complexa, com diferentes objetivos e subsetes, incluindo Hacker Com, In Real Life Com e Extortion Com. As atividades do grupo têm crescido em complexidade, com os suspeitos usando técnicas avançadas para mascarar suas identidades, ocultar transações financeiras e lavar dinheiro. A Europol e as autoridades de segurança estão trabalhando juntas para combater a ameaça, compartilhando informações e recursos para identificar e prender os suspeitos.
A Project Compass é um esforço global para combater a The Com, com a participação de 28 países e a colaboração de especialistas em cibersegurança. O plano de ação inclui a criação de uma rede de compartilhamento de informações, que permite que os países assistam nos investigativos e compartilhem conselhos para medidas preventivas. Além disso, a operação visa identificar e prender os suspeitos, proteger as vítimas e interromper as atividades do grupo.
Fonte de Referência: cyberscoop.com.
Curadoria e Adaptação: Redação Yassutaro Security.
🌐 Google API Keys Expostos: Ameaça ao Gemini AI Assistant
Resumo da Ameaça
Pesquisadores descobriram que chaves de API do Google, utilizadas em serviços como Maps, podem ser usadas para autenticar no assistente de IA Gemini e acessar dados privados. Cerca de 3.000 chaves foram encontradas em páginas da internet de organizações de vários setores, incluindo a própria Google. Essa vulnerabilidade ocorreu após a introdução do assistente Gemini, quando os desenvolvedores começaram a habilitar a API LLM em seus projetos.
Impacto e Mitigação
Os desenvolvedores podem usar chaves de API para estender a funcionalidade em um projeto, como carregar Maps em um site para compartilhar uma localização, ou para serviços como Firebase. No entanto, quando o Gemini foi introduzido, as chaves de API do Google também passaram a atuar como credenciais de autenticação para o assistente de IA do Google. Isso significa que um ator mal-intencionado pode copiar a chave de API de uma página de código-fonte e acessar dados privados disponíveis através do serviço de API do Gemini.
Para mitigar essa ameaça, os desenvolvedores devem verificar se o Gemini (Generative Language API) está habilitado em seus projetos e auditor todas as chaves de API em seu ambiente para determinar se alguma está exposta publicamente. Além disso, é recomendável usar a ferramenta TruffleHog para detectar chaves de API expostas em código e repositórios.
Fonte de Referência: bleepingcomputer.com.
Curadoria e Adaptação: Redação Yassutaro Security.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Boletim de Segurança Cibernética: Proteja sua Rede 26 de Fevereiro, 2026
- Boletim de Segurança Cibernética: Proteja sua Rede 25 de Fevereiro, 2026
- SolarWinds e L3Harris Exécutas Zero-Days para Rússia 25 de Fevereiro, 2026
- Copilot e UAC-0050: Ameaças Cibernéticas Avançam 24 de Fevereiro, 2026
- LuciDoor e Claude Queries: Ameaças Cibernéticas Globais 24 de Fevereiro, 2026
