Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. Agenda Ransomware: variante Linux em sistemas Windows via RMM e BYOVD
Descrição: Grupo Agenda (Qilin) adaptou uma variante Linux de ransomware para infectar sistemas Windows, explorando ferramentas de gerenciamento remoto.
Exploração: Usa Splashtop e AnyDesk para execução remota, técnicas BYOVD, roubo de credenciais de backup e proxies SOCKS para ofuscação de C2.
Impacto: Mais de 590 vítimas em 58 países, com destaque em setores de tecnologia, manufatura e saúde.
Mitigação: Limitar RMM a hosts autorizados, aplicar MFA, monitorar drivers não assinados e ampliar detecção cross-platform entre Windows e Linux.
2. Smishing Global: campanha de phishing via SMS com origem na China
Descrição: A “Smishing Triad” conduz campanha global de SMS falsos de pedágio e entregas, visando roubo de credenciais e dados bancários.
Exploração: Mensagens falsas direcionam vítimas a sites hospedados em nuvem e mascarados por domínios de aparência legítima registrados em Hong Kong.
Impacto: Afeta usuários em múltiplos países, com grande volume de dados roubados e fraude financeira.
Mitigação: Educar usuários, filtrar mensagens SMS, monitorar DNS e tráfego suspeito e bloquear links maliciosos.
3. CVE-2025-22167: Vulnerabilidade crítica no Jira
Descrição: Falha de path traversal permite escrita arbitrária de arquivos acessíveis ao processo JVM, com CVSS 8.7.
Exploração: Atacantes autenticados podem modificar arquivos de sistema e dados críticos nas versões 9.12.0–11.0.1.
Impacto: Compromete integridade e disponibilidade, permitindo manipulação e execução não autorizada.
Mitigação: Atualizar para 9.12.28+, 10.3.12+ ou 11.1.0+, e monitorar logs de tentativas de exploração.
4. Lumma Infostealer: roubo de credenciais e carteiras digitais
Descrição: Malware-as-a-service focado em roubo de cookies, credenciais e carteiras de criptomoedas.
Exploração: Usa instaladores falsos NSIS e scripts AutoIt com “process hollowing” para injeção em processos legítimos.
Impacto: Roubo de dados de navegador, Telegram, VPN e RDP, com envio a C2s como rhussois.su e diadtuky.su.
Mitigação: Monitorar injeção de processos, aplicar allowlisting, bloquear C2s e usar sandbox para análise de instaladores.
5. Tykit: kit de phishing imitando Microsoft 365
Descrição: Kit de phishing avançado usa SVGs maliciosos para criar páginas falsas do Microsoft 365.
Exploração: Arquivos SVG com scripts ofuscados redirecionam vítimas a logins falsos e interceptam tokens JWT via AitM.
Impacto: Roubo de credenciais corporativas e tokens de autenticação, ampliando o alcance de phishing global.
Mitigação: Inspecionar SVGs em sandbox, adotar MFA FIDO2, criar regras SIEM para padrões suspeitos e treinar usuários.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
