A Redbelt Security, consultoria especializada em cibersegurança, reuniu em um relatório inédito as principais vulnerabilidades exploradas recentemente por agentes de ameaças no Brasil e no mundo.

O levantamento detalha diferentes tipos de ataques, desde o uso de extensões falsas do Chrome até o aproveitamento de softwares corporativos legítimos para infiltração em sistemas, com destaque para uma campanha que atinge executivos brasileiros por meio de e-mails falsos com notas fiscais e ferramentas de monitoramento remoto (RMM).

O objetivo do relatório é alertar empresas de todos os portes e setores sobre os métodos mais recentes usados por cibercriminosos e desmistificar a ideia de que grandes organizações são inatingíveis. Ao expor essas falhas, a Redbelt Security espera contribuir para a prevenção de novos ataques e para a adoção de uma postura mais estratégica e proativa em segurança da informação.

Não quer perder as últimas notícias de tecnologia? Siga o perfil do 33Giga no Instagram e no Bluesky

As vulnerabilidades recentemente identificadas são:

ClickFix: golpes envolvendo vídeos no TikTok e aplicativos falsos estão sendo usados para espalhar malwares em computadores com Windows e macOS

Uma técnica conhecida como ClickFix vem ganhando força. Ela induz o próprio usuário a executar comandos maliciosos no computador, acreditando que está ativando programas como Windows, Office ou Spotify. O conteúdo é apresentado por vídeos tutoriais falsos, muitas vezes produzidos com ajuda de inteligência artificial, e compartilhado por perfis que já foram removidos da plataforma. Ao seguir os passos, a vítima instala sem perceber programas espiões que roubam senhas, dados bancários e outras informações sensíveis.

Usuários de Mac também estão sendo alvo com versões falsas do aplicativo Ledger Live, bastante usado por quem tem criptomoedas. Esses apps clonados roubam informações como senhas e frases de recuperação (seed phrases), fundamentais para acessar carteiras digitais. Os criminosos chegam a simular mensagens de erro para enganar o usuário e pedir dados sigilosos. A pesquisadora Junestherry Dela Cruz alerta que criminosos estão usando cada vez mais plataformas populares e métodos criativos para aplicar golpes, e o uso de vídeos tutoriais falsos é uma evolução perigosa da engenharia social.

Google relata 75 vulnerabilidades de dia zero exploradas em 2024, sendo 44% direcionadas a produtos de segurança corporativa

O Google revelou que, ao longo de 2024, foram observadas 75 vulnerabilidades do tipo “dia zero” (zero-day, em inglês) sendo ativamente exploradas. Esse tipo de falha se refere a vulnerabilidades ainda desconhecidas pelos fornecedores de software no momento do ataque, ou seja, para as quais não há correção disponível (patch).

Embora o número represente uma queda em relação aos 98 casos registrados em 2023, ainda supera os 63 identificados em 2022. Do total, 44% tiveram como alvo produtos corporativos, com destaque para softwares e dispositivos de segurança, segmento que concentrou 20 dessas falhas. O Microsoft Windows foi o sistema mais afetado (22 vulnerabilidades), seguido por Android (7), Chrome (7), Safari (3), iOS (2) e Firefox (1). No caso do Android, parte das falhas envolvia componentes de terceiros.

Entre as 33 vulnerabilidades que atingiram diretamente softwares e dispositivos corporativos, 20 estavam ligadas a soluções de segurança e rede de empresas como Ivanti, Palo Alto Networks e Cisco. No total, 18 fornecedores distintos foram atacados, número próximo aos 22 registrados em 2023. As empresas mais afetadas por exploits de dia zero foram: Microsoft (26), Google (11), Ivanti (7) e Apple (5). Segundo o Google, a espionagem cibernética patrocinada por estados-nação segue como a principal motivação por trás desses ataques.

Falha no seletor de arquivos do Microsoft OneDrive permite acesso total de aplicativos ao armazenamento em nuvem

Pesquisadores descobriram uma falha crítica no OneDrive File Picker, ferramenta da Microsoft usada para selecionar e enviar arquivos na nuvem. A vulnerabilidade permite que sites ou aplicativos obtenham acesso completo ao conteúdo da conta do usuário, mesmo quando este autoriza o envio de apenas um arquivo. Aplicações populares como ChatGPT, Slack, Trello e ClickUp podem ser afetadas, por utilizarem integração com o OneDrive.

Segundo a empresa Oasis Security, o problema está na concessão de permissões excessivas. O seletor solicita acesso de leitura a toda a unidade, sem aplicar escopos refinados via OAuth (padrão que permite a autorização segura de acesso a recursos sem compartilhar senhas). Além disso, o aviso de consentimento exibido aos usuários é vago e não esclarece o nível real de acesso.

A Microsoft reconheceu a falha após a divulgação responsável, mas ainda não lançou uma correção. Enquanto isso, recomenda-se desativar uploads via OAuth no OneDrive e evitar o uso de tokens de atualização. Tokens de acesso devem ser armazenados com segurança e descartados quando não forem mais necessários.

Mais de 100 extensões falsas do Chrome sequestram sessões, roubam credenciais e injetam anúncios

Uma campanha maliciosa, ativa desde fevereiro de 2024, distribuiu mais de 100 extensões falsas para o navegador Google Chrome. Embora se apresentem como utilitários legítimos, essas extensões contêm funções ocultas para roubar dados, executar comandos remotos e rodar código malicioso. Entre as ações realizadas estão: roubo de credenciais e cookies, sequestro de sessões de login, injeção de anúncios, redirecionamentos maliciosos e manipulação do DOM (Document Object Model, estrutura usada para representar documentos web).

Essas extensões abusam de permissões excessivas concedidas via o arquivo manifest.json, podendo interagir com todos os sites visitados e carregar scripts de domínios controlados pelos invasores. Algumas páginas usadas para enganar vítimas se apresentam como serviços legítimos, como DeepSeek, DeBank e FortiVPN, induzindo o usuário a instalar os complementos. Após a instalação, as extensões capturam cookies, estabelecem comunicação com servidores remotos via WebSocket (protocolo de comunicação em tempo real) e transformam o navegador da vítima em um proxy de tráfego.

O Google já removeu as extensões da Chrome Web Store. Como prevenção, é importante instalar apenas extensões de desenvolvedores verificados, revisar as permissões solicitadas e verificar avaliações antes da instalação.

Malware Horabot se espalha pela América Latina por meio de phishing com tema de fatura

Uma campanha de phishing tem sido usada para disseminar o malware Horabot, com foco em usuários do sistema Windows na América Latina, especialmente México, Guatemala, Colômbia, Peru, Chile e Argentina. De acordo com o Fortinet FortiGuard Labs, os ataques utilizam e-mails falsos com temas financeiros, como faturas ou cobranças, para induzir vítimas a abrir arquivos maliciosos. Após a infecção, o malware pode roubar credenciais de e-mail, coletar listas de contatos e instalar trojans bancários (softwares que furtam dados financeiros).

A campanha também utiliza a automação COM do Microsoft Outlook (tecnologia que permite controle automatizado de aplicativos) para enviar e-mails diretamente das contas comprometidas, espalhando o ataque em redes corporativas ou domésticas. O Horabot emprega múltiplos scripts, como VBScript, AutoIt e PowerShell, para realizar reconhecimento do sistema, extrair dados e instalar cargas adicionais. O VBScript coleta informações do computador e as envia a um servidor remoto. Em seguida, o AutoIt libera o trojan via uma DLL (biblioteca de vínculo dinâmico) maliciosa, enquanto o PowerShell é responsável por propagar o phishing, usando os contatos extraídos do Outlook da vítima.

Executivos brasileiros são alvo de campanha com spam de NF-e e uso de ferramentas legítimas de RMM

Pesquisadores vêm monitorando uma campanha ativa desde janeiro de 2025, com foco em executivos brasileiros (C-Level), além de equipes financeiras e de RH em organizações privadas, educacionais e governamentais. Os ataques começam com e-mails de spam que simulam notas fiscais eletrônicas (NF-e) ou cobranças bancárias. Ao clicar no link, o usuário é direcionado a um falso arquivo do Dropbox, que instala uma ferramenta de RMM (Remote Monitoring and Management, ou Monitoramento e Gerenciamento Remoto). Ferramentas como N-able RMM Remote Access e PDQ Connect têm sido utilizadas para conceder ao invasor acesso de leitura e gravação ao sistema do usuário. Após o acesso inicial, os cibercriminosos podem instalar outros softwares de controle remoto, como o ScreenConnect, para manter o controle contínuo do dispositivo.

Embora legítimas, essas ferramentas se tornam maliciosas quando instaladas sem consentimento, pois operam de maneira discreta e muitas vezes escapam à detecção de soluções de segurança tradicionais, sendo interpretadas como ferramentas de uso comum em departamentos de TI.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga