Hack Alerta - Notícias de Cibersegurança

Spyware AppCloud vem pré-instalado e não pode ser removido em Galaxy A e M

Relatórios baseados em investigação do grupo SMEX apontam que aparelhos Galaxy A e M vendidos na região MENA trazem o componente AppCloud (IronSource) pré-instalado e de difícil remoção; o software coleta localização, padrões de uso e informação do dispositivo e, segundo relatos, reativa-se após updates ou reset de fábrica. A Samsung ainda não ofereceu resposta técnica detalhada.

17/11/2025 06:02 Riscos e Ameaças

Rust reduz bugs de memória no Android para abaixo de 20%, diz Google

A Google relata que a adoção de Rust no Android reduziu a proporção de vulnerabilidades de memória para menos de 20% e indica uma redução de densidade de vulnerabilidades de memória em 1.000x em relação ao código em C/C++. A migração diminui riscos associados a erros de gerenciamento de memória, embora interoperabilidade com código legado ainda exija mitigação.

17/11/2025 05:02 Tendências

Alegada divulgação de código-fonte e credenciais da LG expõe risco de cadeia de suprimentos

Um ator autodenominado "888" afirma ter publicado repositórios de código-fonte, arquivos de configuração, bases SQL e credenciais hardcoded supostamente extraídas da LG Electronics. Amostras divulgadas sugerem gigabytes de dados e exposição de chaves SMTP; a LG ainda não se manifestou oficialmente. Especialistas apontam risco de abuso para phishing, pivot e exposição de propriedade intelectual, e recomendam rotação imediata de credenciais e audit

17/11/2025 05:02 Vazamento de dados

SilentButDeadly: ferramenta bloqueia comunicação de EDR via WFP

Pesquisador Ryan Framiñán publicou o SilentButDeadly, ferramenta open-source que usa Windows Filtering Platform (WFP) para bloquear bidirecionalmente a conectividade em nuvem de agentes EDR/AV (SentinelOne, Defender, Defender ATP). A ação evita uploads de telemetria e recepção de comandos remotos, requer privilégios de administrador e gera artefatos detectáveis na WFP e em serviços.

16/11/2025 05:02 Riscos e Ameaças

RondoDox explora XWiki (CVE-2025-24893) e amplia botnet

O malware RondoDox tem explorado instâncias não atualizadas do XWiki por meio da falha CVE-2025-24893 (CVSS 9.8), um bug de eval injection que permite execução remota via "/bin/get/Main/". A exploração está sendo usada para alistar servidores na botnet; administradores devem aplicar correções e bloquear o endpoint.

15/11/2025 14:00 Cyber ataques

RCE crítico no pgAdmin4 via restores PLAIN: atualize para 10.0 (CVE-2025-12762)

CVE-2025-12762 permite RCE em pgAdmin4 via restores PLAIN em server mode; NVD dá CVSS 9.3. Correção entregue no commit 1d39739 e liberada na versão 10.0. Recomenda-se atualizar, desabilitar restores PLAIN quando possível e auditar permissões de restore.

15/11/2025 12:01 Riscos e Ameaças

PoC pública para FortiWeb acelera risco: CVE-2025-64446 com exploit disponível

Um PoC público para CVE-2025-64446 (FortiWeb) foi liberado no GitHub; a falha (CVSS 9.8) permite traversal em endpoints CGI e já foi observada em ataques reais. Versões afetadas: 6.3.0–7.4.6. Fortinet recomenda atualizar para 7.4.7+ e segmentar gestão.

15/11/2025 12:01 Riscos e Ameaças

Falha crítica no Cisco Catalyst Center permite escalada de privilégios (CVE-2025-20341)

Vulnerabilidade CVE-2025-20341 no Cisco Catalyst Center Virtual Appliance (VMware ESXi) permite que usuários com papel Observer elevem privilégios a Administrator. CVSS 8.8; versão corrigida: 2.3.7.10-VA. A Cisco não identificou exploits públicos — atualização imediata é recomendada.

15/11/2025 12:01 Riscos e Ameaças

RONINGLOADER usa driver assinado para desativar Defender e EDR

Analistas documentam campanha do loader RONINGLOADER que entrega uma variante do gh0st RAT via instaladores trojanizados e usa um driver assinado (ollama.sys) para encerrar processos de segurança em nível kernel. Elastic detectou abuso de Protected Process Light; não há CVE ou contagem pública de vítimas.

15/11/2025 10:01 Riscos e Ameaças

DigitStealer: novo infostealer mira Macs com Apple Silicon e evita VMs

Jamf identificou DigitStealer, infostealer para macOS distribuído em DynamicLake.dmg e que realiza checagens de hardware para rodar apenas em Apple Silicon M2+. O malware baixa quatro payloads via CDN (Cloudflare) para roubo de credenciais, comprometimento de carteiras e modificação de apps como Ledger Live.

15/11/2025 08:02 Riscos e Ameaças

Operação que usou Claude Code marca primeiro grande ataque orquestrado por IA

Anthropic descreve operação detectada em meados de setembro de 2025 que usou Claude Code para executar 80–90% de uma campanha de espionagem contra cerca de 30 alvos; humanos intervieram apenas em 4–6 pontos críticos por ataque e picos alcançaram milhares de requisições por segundo.

15/11/2025 08:02 Riscos e Ameaças

Campanha de phishing com faturas distribui XWorm via .vbs e fileless

Campanha recente usa anexos .vbs em falsos avisos de pagamento para instalar Backdoor.XWorm. O fluxo envolve um .vbs de 429 linhas que grava IrisBud.bat e aoc.bat, usa PowerShell para descriptografar payloads (AES) e carrega executáveis em memória; mutex 5wyy00gGpG6LF3m6 confirma a família XWorm.

15/11/2025 08:02 Cyber ataques

Kit de phishing usa Telegram para exfiltrar credenciais da Aruba

Pesquisadores da Group‑IB identificaram um kit de phishing que finge ser a Aruba S.p.A.; o golpe usa URLs pré‑preenchidas, CAPTCHA, páginas de pagamento (~€4,37) e captura de 3D Secure, com exfiltração dos dados por chats no Telegram.

15/11/2025 06:01 Riscos e Ameaças

Formbook entregue via ZIPs 'weaponizados' e scripts em cadeia

Pesquisadores do Internet Storm Center identificaram uma campanha de Formbook que usa anexos ZIP com scripts VBS, PowerShell e executáveis em cadeia. Apenas 17 de 65 AVs detectaram o VBS inicial; o payload final é baixado do Google Drive e injeta código em msiexec.exe, conectando-se a C2 em 216.250.252.227:7719.

15/11/2025 06:01 Riscos e Ameaças

CISA: Akira afetou 250+ organizações e arrecadou cerca de $244,17 milhões (advisory)

A advisory da CISA documenta que o grupo Akira impactou mais de 250 organizações desde março de 2023 e, segundo a CISA, arrecadou cerca de $244,17 milhões em resgates até setembro de 2025; o grupo evoluiu variantes para Windows, Linux e VMware ESXi e usa double extortion.

15/11/2025 05:02 Cyber ataques