.png)
há 3 horas
2
O Brasil está entre os países afetados por uma campanha internacional de roubo de credenciais que conseguiu contornar sistemas de dupla autenticação, uma das principais camadas de proteção utilizadas por empresas, bancos e plataformas digitais. O alerta faz parte do relatório mensal de ameaças da Redbelt Security, que identificou um aumento na velocidade e sofisticação dos ataques cibernéticos explorando vulnerabilidades críticas em sistemas amplamente utilizados pelo mercado corporativo.
CONTEÚDO RELACIONADO – Fraudes já custam US$ 10 milhões por ano a metade dos bancos
Segundo a consultoria, a ofensiva atingiu mais de 35 mil usuários em 13 mil organizações distribuídas por 26 países. O Brasil aparece entre os mercados impactados por uma campanha baseada na técnica conhecida como Adversary-in-the-Middle (AiTM), na qual os criminosos interceptam a comunicação entre a vítima e o serviço legítimo para capturar credenciais e sessões autenticadas em tempo real.
Na prática, os invasores conseguem obter não apenas senhas, mas também os tokens gerados após a validação da dupla autenticação. Com isso, passam a acessar contas corporativas mesmo quando os mecanismos adicionais de segurança estão habilitados.
Os ataques foram disseminados por meio de e-mails falsos que simulavam comunicações internas de empresas sobre revisão de códigos de conduta e políticas corporativas. Os anexos em PDF direcionavam os usuários para páginas de login fraudulentas visualmente idênticas às originais.
A presença do Brasil entre os países atingidos reforça uma preocupação crescente entre especialistas: medidas tradicionais de autenticação já não são suficientes para barrar ataques que exploram engenharia social avançada e técnicas de interceptação em tempo real.
Exploração de falhas ocorre em menos de 48 horas
Além da campanha de roubo de credenciais, a Redbelt identificou um padrão que vem se repetindo no cenário global de ameaças: o tempo entre a divulgação pública de vulnerabilidades e sua exploração por criminosos está cada vez menor.
Em vários dos casos analisados, os ataques começaram menos de 48 horas após a publicação das falhas, reduzindo drasticamente a janela disponível para que empresas realizem atualizações e correções de segurança.
Linux sob pressão
Entre os alertas mais graves do relatório estão três vulnerabilidades críticas descobertas no kernel Linux, sistema amplamente utilizado em servidores corporativos, data centers, provedores de nuvem e ambientes de telecomunicações.
As falhas permitem escalonamento de privilégios e podem conceder acesso administrativo completo aos sistemas comprometidos. Em ambientes baseados em Kubernetes e contêineres, os ataques podem inclusive escapar dos ambientes isolados e comprometer toda a infraestrutura hospedada.
Autoridades de cibersegurança dos Estados Unidos já confirmaram casos de exploração ativa dessas vulnerabilidades.
Ataque à cadeia de suprimentos afeta ecossistema de desenvolvimento
Outro episódio relevante identificado em maio foi a campanha Mini Shai-Hulud, que atingiu componentes amplamente utilizados por desenvolvedores de software.
A operação comprometeu a extensão Nx Console para Visual Studio Code, instalada mais de 2,2 milhões de vezes, além de pacotes do ecossistema npm, fluxos de trabalho do GitHub Actions e repositórios internos da própria plataforma GitHub.
Segundo a investigação, cerca de 3.800 repositórios internos foram expostos após o comprometimento de um dispositivo de funcionário. A campanha possui característica autorreplicante: os tokens roubados em cada ambiente são utilizados para invadir novos sistemas, ampliando continuamente o alcance da operação.
Mais de 2.500 repositórios públicos já apresentaram evidências de comprometimento.
Mais de 700 sites transformados em armadilhas
A Redbelt também destacou a exploração em larga escala de uma vulnerabilidade crítica no Ghost CMS, plataforma utilizada por empresas, universidades, organizações de mídia e projetos digitais.
A falha permite que invasores obtenham acesso administrativo sem autenticação e alterem conteúdos publicados. Com isso, os criminosos inserem códigos maliciosos capazes de redirecionar visitantes para páginas falsas de verificação CAPTCHA.
Essas páginas induzem os usuários a executar comandos que instalam backdoors persistentes em seus computadores. Mais de 700 sites foram comprometidos ao longo do mês, incluindo portais de mídia, instituições acadêmicas, empresas de tecnologia e plataformas ligadas ao mercado financeiro.
Firewalls corporativos também foram alvo
O levantamento aponta ainda uma vulnerabilidade crítica no PAN-OS, sistema operacional utilizado pelos firewalls da Palo Alto Networks. A falha recebeu pontuação 9,3 em uma escala de gravidade que vai até 10 e permite execução remota de código com privilégios de administrador sem necessidade de autenticação.
Segundo a Redbelt, a exploração foi observada em ambientes reais antes mesmo de as correções estarem amplamente disponíveis, aumentando o risco para empresas que mantêm esses equipamentos expostos à internet.
Ataques cada vez mais rápidos e automatizados
Para Ronaldo Corá, diretor de Identidade e Acesso da Redbelt Security, os incidentes registrados em maio evidenciam uma mudança no comportamento dos criminosos, que utilizam automação para ampliar o alcance e a velocidade dos ataques.
O especialista destaca que campanhas modernas conseguem reutilizar credenciais roubadas para comprometer novos ambientes, contornar mecanismos de dupla autenticação e explorar vulnerabilidades críticas poucas horas após sua divulgação pública.
O resultado é um cenário em que empresas brasileiras enfrentam uma pressão crescente para acelerar processos de atualização, fortalecer monitoramento de acessos e adotar mecanismos avançados de detecção comportamental, diante de ataques cada vez mais sofisticados e difíceis de bloquear com controles tradicionais de segurança.
English (US) · 
Portuguese (BR) ·