Mais uma quinta-feira chega e, com ela, uma nova pilha de acontecimentos curiosos no mundo da segurança digital que ocorreram em apenas sete dias. Algumas dessas histórias mostram ataques criativos e tecnicamente sofisticados. Outras revelam técnicas mais simples — às vezes até preguiçosas — que ainda assim conseguem causar impacto real.
Também aparecem alguns casos que entram naquela categoria desconfortável de incidentes que fazem qualquer profissional de segurança pensar: “Isso provavelmente vai aparecer em ataques reais muito em breve.”
- Leia também: Computação de Borda: o que é, como funciona e por que está transformando a internet
- Leia também: Computação sem servidor: o que é, vantagens, desvantagens e quando usar
- Leia também: Função como Serviço (FaaS): o que é, como funciona e quais são as vantagens
O padrão observado nesta semana não é exatamente novo, mas continua preocupante. Técnicas antigas estão sendo aprimoradas, enquanto novas pesquisas mostram que muitas das suposições de segurança consideradas confiáveis podem, na verdade, ser frágeis. Em alguns momentos, os relatos chegam a surpreender: certos ataques parecem simples demais para funcionar — e ainda assim funcionam.
Como de costume, também surgem histórias vindas dos cantos mais estranhos do ecossistema digital:
infraestruturas que parecem profissionais demais para serem totalmente confiáveis, ferramentas surgindo em ambientes onde claramente não deveriam existir e, claro, alguns casos em que o elo mais fraco continua sendo o fator humano — pessoas clicando em coisas que provavelmente não deveriam.
Se você tem cinco minutos e curiosidade sobre o que pesquisadores, atacantes e os “duendes da internet” andaram aprontando recentemente, o Boletim de Ameaças desta semana do The Hacker News traz um resumo rápido dos principais acontecimentos.
Abuso de consentimento OAuth
Os perigos dos aplicativos OAuth maliciosos
A empresa de segurança em nuvem Wiz alertou sobre os riscos associados a aplicativos OAuth maliciosos. Esses aplicativos exploram um fenômeno conhecido como “fadiga do consentimento”, no qual usuários aceitam permissões sem analisar cuidadosamente o que estão autorizando.
Atacantes exploram esse comportamento criando aplicativos que parecem legítimos. Muitas vezes eles utilizam nomes semelhantes aos de marcas conhecidas para ganhar credibilidade.
Quando um usuário aceita as permissões solicitadas por um aplicativo OAuth fraudulento, ele basicamente autoriza o aplicativo do invasor a acessar dados corporativos.
Segundo a Wiz:
“Assim que o usuário clica em ‘Aceitar’, o processo de login é concluído. Porém, em vez de ser redirecionado para uma página legítima, o token de acesso é enviado para o servidor controlado pelo invasor.”
Com esse token, o atacante pode acessar e-mails, arquivos e outros dados corporativos sem precisar conhecer a senha da vítima.
A empresa, atualmente pertencente ao Google, informou que detectou uma campanha em larga escala ativa no início de 2025. Nessa campanha, 19 aplicativos OAuth diferentes se passaram por serviços conhecidos, como:
- Adobe
- DocuSign
- OneDrive
O objetivo era obter acesso a ambientes corporativos de várias organizações. Os detalhes da operação foram documentados anteriormente pela Proofpoint em agosto de 2025.
Apropriação indevida de contas de mensagens
Hackers russos visam contas do Signal e WhatsApp
Hackers ligados à Rússia estão tentando assumir o controle de contas do Signal e do WhatsApp pertencentes a jornalistas, militares e funcionários do governo ao redor do mundo.
Curiosamente, os atacantes não quebram a criptografia dos aplicativos. Em vez disso, exploram engenharia social para convencer as vítimas a fornecer códigos de verificação ou PINs de segurança.
De acordo com o Serviço de Inteligência e Segurança da Defesa da Holanda (MIVD) e o Serviço Geral de Inteligência e Segurança (AIVD), o método mais comum envolve se passar por chatbots de suporte do Signal.
Esses falsos bots solicitam códigos de verificação que permitem aos invasores assumir o controle da conta.
Outro método explora o recurso “dispositivos conectados” disponível tanto no Signal quanto no WhatsApp.
Autoridades alemãs também emitiram um alerta semelhante recentemente.
Segundo o próprio Signal:
“Estes ataques fazem parte de campanhas sofisticadas de phishing projetadas para convencer os usuários a compartilhar códigos SMS ou PINs de segurança.”
O Google já havia alertado anteriormente que o uso do Signal por soldados, políticos e jornalistas ucranianos tornou o aplicativo um alvo frequente de espionagem digital.
Invasão de nuvem explorando falhas de software
Ataques exploram vulnerabilidades em softwares de terceiros
O Google revelou que invasores estão explorando cada vez mais vulnerabilidades em softwares de terceiros para invadir ambientes de nuvem corporativos.
Um dado chama atenção: o tempo entre a divulgação de uma vulnerabilidade e sua exploração em ataques reais diminuiu drasticamente. Em muitos casos, esse intervalo caiu de semanas para apenas alguns dias.
Segundo a divisão de nuvem do Google, as formas tradicionais de acesso inicial estão diminuindo:
- Configurações incorretas representavam 29,4% dos incidentes no primeiro semestre de 2025, mas caíram para 21% no segundo semestre.
- A exposição de interfaces sensíveis caiu de 11,8% para 4,9%.
Esses números indicam que proteções automatizadas estão dificultando ataques baseados em erros de configuração.
Como resultado, atacantes passaram a investir em vetores mais sofisticados, explorando vulnerabilidades específicas em softwares.
Nos ataques investigados pelo Google, o objetivo principal costuma ser:
- exfiltração silenciosa de dados
- persistência de longo prazo
- acesso furtivo a grandes volumes de informações
Em muitos casos, os invasores evitam extorsão imediata para permanecer mais tempo dentro do ambiente comprometido.
Desvio de depuração do microcontrolador
Quebrando a proteção do RH850
Pesquisadores da Quarkslab descobriram uma técnica capaz de contornar a proteção por senha utilizada em microcontroladores da família RH850.
Esses chips exigem uma senha de 16 bytes para permitir acesso ao modo de depuração.
No entanto, os pesquisadores demonstraram que é possível burlar essa proteção utilizando uma técnica chamada injeção de falha de tensão.
Esse método consiste em alterar temporariamente a alimentação elétrica do chip para modificar seu comportamento.
Segundo a empresa:
“A técnica funciona ao sub alimentar ou sobrecarregar o chip por um curto período de tempo.”
Um método específico chamado “crowbar attack” provoca um curto-circuito entre a alimentação e a terra utilizando um MOSFET.
Com essa abordagem, os pesquisadores conseguiram contornar a proteção em menos de um minuto.
Suspeitos ligados ao Solar Spider são presos
Dois cidadãos nigerianos foram presos em Greater Noida, na Índia, sob suspeita de participação em uma operação de cibercrime conhecida como Solar Spider.
Os suspeitos foram identificados como:
- Okechukwu Imeka
- Chinedu Okafor
Segundo autoridades do estado de Uttar Pradesh, os dois faziam parte de uma rede internacional de fraude digital.
O grupo Solar Spider é conhecido por atacar sistemas bancários na Índia e no Oriente Médio. As operações normalmente começam com campanhas de spear-phishing.
Após obter acesso inicial, os criminosos costumam:
- roubar credenciais bancárias
- manipular transações NEFT/RTGS
- atacar sistemas SFMS
- explorar infraestruturas Host-to-Host (H2H)
O grupo também utiliza uma estrutura de ataque chamada JSOutProx, ativa desde pelo menos 2019.
Fonte: The Hacker News —https://thehackernews.com/2026/03/threatsday-bulletin-oauth-trap-edr.html
