O boletim semanal ThreatsDay destaca uma série de incidentes de segurança cibernética ocorridos ou divulgados recentemente, envolvendo desde ataques a cadeias de suprimentos de software até multas milionárias e invasões de contas OAuth.
Lumma Stealer perde força após exposição de operadores
A atividade do ladrão de informações Lumma Stealer (Water Kurita) registrou “queda repentina” depois que dados pessoais de cinco supostos integrantes do grupo foram publicados em campanha de doxxing chamada Lumma Rats, iniciada em agosto de 2025. Telegrams do malware foram comprometidos em 17 de setembro, levando clientes a migrar para Vidar e StealC.
No mesmo período surgiu o Vidar Stealer 2.0, totalmente reescrito em C, com arquitetura multithread, extração avançada de credenciais e builder polimórfico automático.
Anúncios falsos usam autoridades de Singapura para fraude
Campanha de grande escala utilizou imagens de autoridades de Singapura em anúncios pagos do Google para direcionar vítimas a uma plataforma de investimentos em forex registrada em Maurício. Foram identificados 28 anunciantes verificados e 119 domínios que imitavam veículos como CNA e Yahoo! News, segundo a Group-IB.
Pacote npm malicioso instala framework AdaptixC2
Pesquisadores da ReversingLabs encontraram o pacote “https-proxy-utils” no npm, publicado em 28 de julho de 2025 pelo usuário “bestdev123”. O item, baixado 57 vezes, executava script pós-instalação que baixava o AdaptixC2 para Windows, Linux e macOS. O pacote já foi removido.
Canadá aplica multa de US$ 176 milhões à Xeltox Enterprises
Órgão regulador FINTRAC multou a Xeltox Enterprises Ltd. (Cryptomus/Certa Payments) por não relatar 1.068 transações suspeitas em julho de 2024 ligadas a material de abuso sexual infantil, fraudes, ransomware e evasão de sanções.
SpaceX desativa 2.500 Starlinks usados em golpes no Sudeste Asiático
A empresa informou ter desconectado mais de 2,5 mil terminais na região de Mianmar, onde forças locais já haviam apreendido dispositivos em centros de estelionato online. Desde janeiro, 9.551 estrangeiros envolvidos nessas operações foram detidos no país.
Falha permite sequestro de sessões em chats de IA
Vulnerabilidade CVE-2025-6515 na implementação Oat++ do Model Context Protocol da Anthropic possibilita prever IDs de sessão e injetar respostas maliciosas via servidor oatpp-mcp, informou a JFrog.
Ferramenta demonstra abuso de OAuth como backdoor
A Proofpoint criou o kit automatizado Fassa, que mostra como apps OAuth maliciosos mantêm acesso mesmo após redefinição de senhas ou aplicação de MFA. Um caso real usou o kit de phishing Tycoon para registrar aplicativo interno “test” e manter o acesso ao e-mail da vítima.
Bug de administração expôs dados de pilotos de Fórmula 1
Vulnerabilidade de “mass assignment” no portal driverscategorisation.fia.com permitia criar contas com privilégios de ADMIN e acessar passaportes e CNHs de todos os pilotos. O problema foi relatado em 3 de junho e corrigido em 10 de junho de 2025.
Google lança plataforma de agentes de IA para defesa cibernética
Em prévia para clientes Threat Intelligence Enterprise, o sistema seleciona agentes especializados para responder consultas, analisando da web aberta à dark web e relatórios internos.
Phishing com arquivos SVG leva a páginas falsas do Microsoft 365
O kit Tykit envia e-mails com anexos SVG que executam JavaScript, redirecionando o usuário a página de login falsa após desafio Cloudflare Turnstile, segundo a ANY.RUN.
Caminho de build exposto afeta mais de 3.000 servidores de IA
A GitGuardian identificou traversal em smithery.yaml da Smithery.ai. A falha permitia acessar arquivos sensíveis e credenciais administrativas, arriscando milhares de chaves de API. Correção já aplicada.
Imagem: Internet
Prompt injection pode virar execução remota de código
A Trail of Bits mostrou que ataques de injeção de argumentos podem contornar a aprovação humana em agentes de IA, resultando em RCE. Recomenda-se isolar agentes e limitar comandos.
pickle inseguro causa RCE no python-socketio
Falha CVE-2025-61765 (score 6,4) permite execução de código quando invasor tem acesso à fila de mensagens e envia payload pickle malicioso. O problema foi corrigido na versão 5.14.0.
IDEs de IA usam Electron desatualizado com 94 falhas Chromium
Cursor e Windsurf rodam versões antigas do VS Code e do runtime Electron, expondo 1,8 milhão de desenvolvedores a bugs já corrigidos no Chromium e no motor V8, diz a OX Security.
Instalador falso do Chrome distribui ValleyRAT na China
Cadeia de ataque identificada pela Cyderes entrega trojan ValleyRAT (Winos 4.0) que desativa antivírus locais via driver de kernel antes de baixar malware do servidor 202.95.11[.]152.
Unicode escondido permite clonar apps do Azure
Pesquisadores da Varonis detalharam o método Azure App-Mirage, que insere o caractere 0x34f em nomes como “Azure Portal” para contornar restrições de nomenclatura e enganar usuários em golpes de device code.
Ataques a bancos de dados sem malware empregam apenas comandos SQL
Segundo a Wiz, invasores acessam servidores MongoDB, PostgreSQL, MySQL, Aurora e MariaDB, copiam dados, apagam as instâncias e deixam o resgate na própria base, sem implantar binários.
CSS oculta texto malicioso em e-mails
A Cisco Talos observa uso crescente de texto escondido via propriedades de CSS para burlar filtros e influenciar classificações de LLMs em mensagens de spam e phishing.
Rede secreta rastreia 14 mil celulares via SS7
Investigação da Mother Jones revelou que a plataforma Altamides, da indonésia First Wap, utiliza falhas no protocolo SS7 para localizar políticos, executivos e jornalistas em vários continentes.
Os casos reforçam a tendência de invasores explorarem caminhos legítimos – logins, pacotes confiáveis e protocolos autorizados – para obter acesso ou permanecer indetectáveis.
Com informações de The Hacker News
