← Voltar ao blog
Security Briefing4 min de leitura2026-04-25

Security Briefing, 25 de abril de 2026: persistência do Firestarter, exposição do Zimbra e extorsão por vishing da BlackFile

O padrão de hoje é feio, mas claro: appliances de borda, caixas de e-mail e fluxos de confiança do helpdesk estão sendo abusados de formas que sobrevivem a uma remediação superficial.


Resumo: Três histórias merecem atenção imediata nesta manhã: malware em firewall que sobrevive ao ciclo de patches, uma plataforma de e-mail com milhares de servidores expostos ainda vulneráveis e um grupo de extorsão guiado por vishing que transforma fluxos normais de suporte em caminhos de invasão.


1. Firestarter transforma o patching de firewalls Cisco em uma falsa linha de chegada

A CISA e o NCSC do Reino Unido alertam que o backdoor Firestarter pode persistir em dispositivos Cisco Firepower e Secure Firewall mesmo após reinicializações, atualizações de firmware e patches de segurança. O malware, ligado a um ator de espionagem rastreado pela Cisco, se prende ao processo LINA, se reinstala quando é encerrado e pode ser acionado por tráfego WebVPN especialmente preparado. A orientação da Cisco é direta: versões corrigidas importam, mas o caminho de limpeza recomendado é o reimaging do equipamento.


2. Mais de 10 mil servidores Zimbra expostos continuam dentro do raio de impacto

A Shadowserver afirma que mais de 10.500 servidores Zimbra Collaboration Suite expostos na internet continuam vulneráveis ao CVE-2025-48700, uma falha XSS que a CISA já listou como explorada ativamente. O problema afeta várias linhas do ZCS e pode permitir que atacantes não autenticados executem JavaScript dentro da sessão de webmail da vítima quando um e-mail malicioso é aberto na Classic UI. Isso importa porque o Zimbra tem longo histórico como trampolim para roubo de e-mails e campanhas ligadas a Estados.


3. A BlackFile prova que chamadas falsas de helpdesk ainda quebram empresas modernas

A BlackFile está sendo associada a uma onda de ataques de extorsão guiados por vishing contra varejo e hotelaria. Os atacantes se passam por suporte de TI, roubam credenciais e códigos de uso único por meio de páginas falsas de login e depois registram seus próprios dispositivos para contornar a MFA. A partir daí, saqueiam sistemas como Salesforce e SharePoint por APIs padrão, roubam arquivos sensíveis e aumentam a pressão com pedidos de resgate e até swatting.


O que as equipes de segurança devem fazer hoje

  1. Executar verificações de comprometimento em firewalls Cisco e planejar reimaging onde houver indicadores.
  2. Concluir o patching do Zimbra e caçar abuso de sessão acionado por e-mail malicioso.
  3. Endurecer verificações de identidade do helpdesk, especialmente para suporte remoto e resets de MFA.
  4. Revisar atividade de exportação SaaS e eventos de registro de dispositivos em busca de padrões estilo BlackFile.

Fontes


Conclusão: O padrão de hoje é feio, mas claro: appliances de borda, caixas de e-mail e fluxos de confiança do helpdesk estão sendo abusados de formas que sobrevivem a uma remediação superficial.

Encontre as quebras de confiança antes que virem incidentes

A KENSAI ajuda equipes a revelar caminhos de ataque expostos em appliances de borda, sistemas de e-mail, fluxos de identidade e ferramentas em nuvem antes que atacantes transformem processos normais em infraestrutura de invasão.

Scan grátis →

Fique afiado.

🗡️ Equipe de Segurança KENSAI