A Redbelt Security, consultoria especializada em cibersegurança, lançou essa semana seu relatório mensal de principais vulnerabilidades exploradas por atacantes no Brasil e no mundo. O levantamento detalha diferentes tipos de ataques, incluindo golpes no TikTok e o uso de extensões falsas do Chrome, além do aproveitamento de softwares corporativos legítimos para infiltração em sistemas.
Um dos destaques é uma campanha que atinge executivos brasileiros por meio de e-mails falsos com notas fiscais e ferramentas de monitoramento remoto (RMM). O objetivo do relatório é alertar empresas sobre métodos mais recentes usados por cibercriminosos e “desmistificar a ideia de que grandes organizações são inatingíveis”.
As vulnerabilidades recentemente identificadas são:
Uma técnica conhecida como ClickFix vem ganhando força: ela induz o próprio usuário a executar comandos maliciosos no computador, acreditando que está ativando programas como Windows, Office ou Spotify. O conteúdo é apresentado por vídeos tutoriais falsos, muitas vezes produzidos com ajuda de inteligência artificial e compartilhado por perfis que já foram removidos da plataforma.
Ao seguir os passos, a vítima instala sem perceber programas espiões que roubam senhas, dados bancários e outras informações sensíveis. Usuários de Mac também estão sendo alvo de outro golpe: versões falsas do aplicativo Ledger Live, bastante usado por quem tem criptomoedas. Esses apps clonados roubam informações como senhas e frases de recuperação (seed phrases), fundamentais para acessar carteiras digitais.
Os criminosos chegam a simular mensagens de erro para enganar o usuário e pedir dados sigilosos. A pesquisadora Junestherry Dela Cruz alerta que criminosos estão usando cada vez mais plataformas populares e métodos criativos para aplicar golpes, e o uso de vídeos tutoriais falsos é uma evolução perigosa da engenharia social.
O Google revelou que, ao longo de 2024, foram observadas 75 vulnerabilidades do tipo “dia zero” (zero-day, em inglês) ativamente exploradas. Esse tipo de falha se refere a vulnerabilidades desconhecidas pelos fornecedores de software no momento do ataque, ou seja, para as quais não há correção disponível.
Embora o número represente uma queda em relação aos 98 casos registrados em 2023, ainda supera os 63 identificados em 2022. Do total, 44% tiveram como alvo produtos corporativos, com destaque para softwares e dispositivos de segurança, segmento que concentrou 20 dessas falhas.
Veja também: Governo cria grupos para plano de cibersegurança e ações educativas
O Microsoft Windows foi o sistema mais afetado (22 vulnerabilidades), seguido por Android (7), Chrome (7), Safari (3), iOS (2) e Firefox (1). No caso do Android, parte das falhas envolvia componentes de terceiros.
Entre as 33 vulnerabilidades que atingiram diretamente softwares e dispositivos corporativos, 20 estavam ligadas a soluções de segurança e rede de empresas como Ivanti, Palo Alto Networks e Cisco. No total, 18 fornecedores distintos foram atacados, número próximo aos 22 registrados em 2023. As empresas mais afetadas por exploits de dia zero foram: Microsoft (26), Google (11), Ivanti (7) e Apple (5). Segundo o Google, a espionagem cibernética patrocinada por Estados-nação segue como a principal motivação por trás desses ataques.
Pesquisadores descobriram uma falha crítica no OneDrive File Picker, ferramenta da Microsoft usada para selecionar e enviar arquivos na nuvem. A vulnerabilidade permite que sites ou aplicativos obtenham acesso completo ao conteúdo da conta do usuário, mesmo quando este autoriza o envio de apenas um arquivo.
Aplicações populares como ChatGPT, Slack, Trello e ClickUp podem ser afetadas, por utilizarem integração com o OneDrive. Segundo a empresa Oasis Security, o problema está na concessão de permissões excessivas: o seletor solicita acesso de leitura a toda a unidade, sem aplicar escopos refinados via OAuth (padrão que permite a autorização segura de acesso a recursos sem compartilhar senhas). Além disso, o aviso de consentimento exibido aos usuários é vago e não esclarece o nível real de acesso.
A Microsoft reconheceu a falha após a divulgação responsável, mas ainda não lançou uma correção. Enquanto isso, recomenda-se desativar uploads via OAuth no OneDrive e evitar o uso de tokens de atualização. Tokens de acesso devem ser armazenados com segurança e descartados quando não forem mais necessários.
Uma campanha maliciosa, ativa desde fevereiro de 2024, distribuiu mais de 100 extensões falsas para o navegador Google Chrome. Embora se apresentem como utilitários legítimos, essas extensões contêm funções ocultas para roubar dados, executar comandos remotos e rodar código malicioso. Entre as ações realizadas estão: roubo de credenciais e cookies, sequestro de sessões de login, injeção de anúncios, redirecionamentos maliciosos e manipulação do DOM (Document Object Model, estrutura usada para representar documentos web).
Essas extensões abusam de permissões excessivas concedidas via o arquivo manifest.json, podendo interagir com todos os sites visitados e carregar scripts de domínios controlados pelos invasores. Algumas páginas usadas para enganar vítimas se apresentam como serviços legítimos, como DeepSeek, DeBank e FortiVPN, induzindo o usuário a instalar os complementos. Após a instalação, as extensões capturam cookies, estabelecem comunicação com servidores remotos via WebSocket (protocolo de comunicação em tempo real) e transformam o navegador da vítima em um proxy de tráfego.
O Google já removeu as extensões da Chrome Web Store. Como prevenção, é importante instalar apenas extensões de desenvolvedores verificados, revisar as permissões solicitadas e verificar avaliações antes da instalação.
Pesquisadores vêm monitorando uma campanha ativa desde janeiro de 2025, com foco em executivos brasileiros (C-Level), além de equipes financeiras e de RH em organizações privadas, educacionais e governamentais. Os ataques começam com e-mails de spam que simulam notas fiscais eletrônicas (NF-e) ou cobranças bancárias.
Ao clicar no link, o usuário é direcionado a um falso arquivo do Dropbox, que instala uma ferramenta de RMM (Remote Monitoring and Management, ou Monitoramento e Gerenciamento Remoto). Ferramentas como N-able RMM Remote Access e PDQ Connect têm sido utilizadas para conceder ao invasor acesso de leitura e gravação ao sistema do usuário.
Após o acesso inicial, os cibercriminosos podem instalar outros softwares de controle remoto, como o ScreenConnect, para manter o controle contínuo do dispositivo. Embora legítimas, essas ferramentas se tornam maliciosas quando instaladas sem consentimento, pois operam de maneira discreta e muitas vezes escapam à detecção de soluções de segurança tradicionais, sendo interpretadas como ferramentas de uso comum em departamentos de TI.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
A redação contempla textos de caráter informativo produzidos pela equipe de jornalistas do IT Forum.
