Phishing no Teams implanta A0Backdoor, campanha de sequestro de Signal, Salesforce Aura sob ataque
1. Phishing no Microsoft Teams implanta malware A0Backdoor
🚨 CRÍTICO — Campanha ativa contra setores financeiro e de saúde
Agentes de ameaça estão a utilizar mensagens do Microsoft Teams para atacar funcionários dos setores financeiro e de saúde. Após o contacto inicial via Teams, os atacantes convencem as vítimas a conceder acesso remoto através do Quick Assist, uma ferramenta legítima de suporte remoto do Windows. Uma vez conectados, implantam uma backdoor inédita denominada A0Backdoor.
A cadeia de ataque destaca-se pela sofisticação da engenharia social — os atacantes fazem-se passar por pessoal de suporte TI e criam urgência em torno de supostos problemas de segurança. O A0Backdoor proporciona acesso persistente, recolha de credenciais e capacidades de movimento lateral.
Ações necessárias: Restringir o uso do Quick Assist via Política de Grupo. Educar os funcionários sobre pedidos de suporte não solicitados via Teams. Monitorizar atividade invulgar de ferramentas de acesso remoto.
2. Google: ataques cloud mudam de credenciais para exploração de vulnerabilidades
O mais recente relatório de inteligência de ameaças da Google revela uma mudança significativa nas táticas de ataque cloud. Os hackers estão cada vez mais a explorar vulnerabilidades recentemente divulgadas em software de terceiros em vez de depender de credenciais fracas ou roubadas para o acesso inicial ao cloud.
A descoberta mais alarmante: a janela entre a divulgação de vulnerabilidades e a exploração ativa reduziu-se de semanas para apenas dias, por vezes horas. Isto coloca uma pressão enorme nas equipas de segurança para aplicar patches imediatamente.
| Métrica | Anterior | Atual |
|---|---|---|
| Tempo médio até exploração | 2–4 semanas | 1–3 dias |
| Principal vetor de acesso inicial | Credenciais roubadas | Exploração de vulnerabilidades |
| Envolvimento de software de terceiros | Moderado | Alvo principal |
3. Hackers do GRU russo sequestram contas de Signal e WhatsApp
🚨 PATROCINADO POR ESTADO — Alerta do governo neerlandês
O governo neerlandês emitiu um alerta formal sobre uma campanha de phishing em curso patrocinada pelo estado russo, ligada ao GRU (inteligência militar russa). A campanha visa funcionários governamentais, pessoal militar e jornalistas, tentando sequestrar as suas contas de Signal e WhatsApp.
Os atacantes utilizam engenharia social sofisticada para enganar os alvos e fazê-los vincular as suas contas de mensagens a dispositivos controlados pelos atacantes. Uma vez comprometidos, os atores obtêm acesso total a conversas encriptadas, contactos e média partilhada.
Ações necessárias: Rever os dispositivos vinculados nas definições de Signal e WhatsApp. Ativar o bloqueio de registo no Signal. Informar pessoal de alto valor sobre esta ameaça específica.
4. Violação de dados da Ericsson US
A subsidiária americana da Ericsson divulgou uma violação de dados resultante da compromissão de um prestador de serviços terceiro. Dados de funcionários e clientes foram roubados, incluindo informação pessoalmente identificável.
Este incidente realça o risco persistente de ataques à cadeia de fornecimento — mesmo quando a sua própria segurança é robusta, fornecedores e prestadores de serviços podem tornar-se o elo mais fraco.
5. ShinyHunters exploram vulnerabilidade no Salesforce Aura
⚠️ EXPLORAÇÃO ATIVA — Salesforce Experience Cloud
O notório grupo de extorsão ShinyHunters está a explorar ativamente uma nova falha no Salesforce Experience Cloud (framework Aura) para roubar dados de instâncias mal configuradas. Organizações com sites Salesforce Experience Cloud expostos estão em risco imediato.
Os ShinyHunters têm um historial de violações de dados massivas e tipicamente extorquem as vítimas ameaçando divulgar os dados roubados. A vulnerabilidade do Salesforce Aura permite acesso não autorizado a registos sensíveis quando as instâncias estão incorretamente configuradas.
Ações necessárias: Auditar as configurações do Salesforce Experience Cloud imediatamente. Rever as permissões de utilizadores convidados. Verificar padrões de acesso a dados inesperados.
6. Pacote npm malicioso imita o OpenClaw
Um pacote npm malicioso chamado @openclaw-ai/openclawai foi descoberto disfarçado de instalador legítimo. O pacote implanta um Trojan de Acesso Remoto (RAT) e rouba dados sensíveis de sistemas macOS, incluindo:
- Credenciais do sistema e dados do porta-chaves
- Cookies do navegador e palavras-passe guardadas
- Ficheiros de carteiras de criptomoedas
- Chaves SSH e configuração
- Histórico do iMessage
O pacote acumulou 178 downloads antes da deteção. Trata-se de um ataque clássico à cadeia de fornecimento que explora a confiança nos gestores de pacotes.
7. Grupo norte-coreano UNC4899 compromete empresa crypto
A equipa Mandiant da Google atribui a violação de uma empresa crypto ao UNC4899 (também conhecido como TraderTraitor), um grupo de ameaças norte-coreano. Os atacantes comprometeram o alvo através de um ficheiro AirDrop trojanizado e depois moveram-se para a infraestrutura cloud utilizando técnicas living-off-the-cloud — abusando de serviços cloud legítimos para se camuflarem na atividade normal.
Isto representa uma evolução nas operações cibernéticas norte-coreanas, demonstrando crescente sofisticação nas técnicas de ataque cloud-native.
8. Extensões Chrome tornam-se maliciosas após transferência de propriedade
Duas extensões Chrome revelaram-se maliciosas após a transferência da sua propriedade para novos programadores. Os novos proprietários lançaram atualizações que permitiam injeção de código e roubo de dados, afetando utilizadores que tinham as extensões instaladas com atualização automática ativada.
Ações necessárias: Auditar extensões do navegador em toda a organização. Implementar listas de extensões permitidas. Monitorizar atualizações inesperadas de extensões.
9. Cisco Catalyst SD-WAN CVE-2026-20127 sob ataque massivo
🚨 CVE CRÍTICO — Exploração massiva ativa
Uma vulnerabilidade crítica no Cisco Catalyst SD-WAN (CVE-2026-20127) está agora a ser massivamente explorada a partir de numerosos endereços IP. Organizações que operam infraestrutura Cisco SD-WAN afetada devem aplicar patches imediatamente ou implementar mitigações.
Ações necessárias: Aplicar imediatamente os patches do aviso de segurança da Cisco. Se não for possível aplicar patches, implementar as soluções alternativas recomendadas e monitorizar indicadores de compromisso.
10. Ataque ClickFix evolui com Windows Terminal
A técnica de engenharia social ClickFix evoluiu. Os atacantes agora utilizam páginas CAPTCHA falsas que instruem as vítimas a colar comandos maliciosos no Windows Terminal em vez do tradicional diálogo Executar. Esta técnica de evasão contorna vários controlos de segurança que monitorizam o diálogo Executar.
A mudança para o Windows Terminal é significativa porque proporciona um ambiente de execução mais poderoso e pode não ser monitorizado por ferramentas de deteção de endpoint legacy.
11. Mais notícias
| Notícia | Impacto |
|---|---|
| FBI investiga violação de sistema de vigilância | FBI investiga atividade cibernética suspeita num sistema com informação de vigilância sensível |
| CISA adiciona falhas iOS ao KEV | Kit de exploits Coruna visa 23 vulnerabilidades em iOS 13–17.2.1; nível estatal |
| Atualização da estratégia cibernética dos EUA | Nova estratégia dirigida a adversários, proteção de infraestruturas críticas e IA/criptografia pós-quântica |
Como o KENSAI o protege
✅ Monitorização de CVE em tempo real — CVE-2026-20127 e todas as vulnerabilidades críticas rastreadas em horas após a divulgação
✅ Análise da cadeia de fornecimento — Deteção de pacotes maliciosos como o falso instalador npm OpenClaw
✅ Auditoria de configuração cloud — Identificar configurações incorretas do Salesforce antes que os ShinyHunters o façam
✅ Gestão contínua da superfície de ataque — Monitorização da sua exposição em todos os vetores
Ações recomendadas
- Imediato: Aplicar patch ao Cisco SD-WAN CVE-2026-20127. Restringir Quick Assist via Política de Grupo.
- Hoje: Auditar configurações do Salesforce Experience Cloud. Rever dispositivos vinculados no Signal/WhatsApp.
- Esta semana: Auditar extensões do navegador em toda a organização. Rever dependências npm em busca de pacotes maliciosos.
- Contínuo: Implementar gestão contínua de vulnerabilidades. Formar o pessoal sobre técnicas de phishing no Teams e ClickFix.
Proteja a sua organização com o KENSAI
Análise de vulnerabilidades com IA e monitorização de segurança contínua. Inicie o seu scan gratuito hoje.
Iniciar scan gratuito →Mantenha-se seguro. Mantenha-se vigilante.
🗡️ Equipa de Segurança KENSAI