Estudo detecta vulnerabilidade explorável em software de videoconferência sigiloso

Pesquisadores da Check Point Software identificam brecha de dia zero em ferramenta de videoconferência que permitiu ataques sem phishing e sem acesso externo, atingindo órgãos públicos na Ásia

Compartilhar:

A equipe da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, identificou uma vulnerabilidade Zero Day até então desconhecida que possibilitou a cibercriminosos transformar atualizações legítimas de software governamental em um canal dedicado para distribuição de malware.

 

A falha foi explorada no software de videoconferência TrueConf, permitindo a infecção silenciosa de múltiplas agências públicas sem o uso de phishing, roubo de credenciais ou exploração de sistemas expostos à internet. A vulnerabilidade foi identificada como CVE 2026 3502, classificada com nível de gravidade 7,8, e explorada em ataques reais.

 

O vetor inicial foi o mecanismo confiável de atualização de software de uma plataforma de colaboração instalada localmente. Entidades governamentais no Sudeste Asiático foram alvos da campanha, que utilizou a ferramenta de pós exploração Havoc, frequentemente associada a atores avançados de ameaça. A falha foi comunicada ao fornecedor, que lançou correção em março de 2026.

 

A exploração da falha ocorreu no processo de validação de atualizações do cliente Windows do TrueConf. Ao iniciar, o sistema verifica automaticamente se há versões mais recentes disponíveis no servidor interno conectado. Caso exista atualização, o usuário é orientado a fazer o download diretamente desse servidor. A análise revelou que o cliente não verificava de forma adequada a integridade ou autenticidade do pacote antes da execução.

 

 Com isso, os atacantes conseguiram se passar por atualizações legítimas, inserindo arquivos maliciosos que eram baixados e executados com total confiança pelo sistema. Com base em padrões de vítimas, ferramentas e infraestrutura, há indícios moderados de envolvimento de um ator ligado à China.

 

Nos ataques observados, o grupo comprometeu um servidor central do TrueConf operado por uma organização governamental de TI, substituiu uma atualização legítima por um instalador adulterado e distribuiu automaticamente o pacote para todos os dispositivos conectados em diferentes agências públicas.

 

 Segundo Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, a confiança se tornou uma superfície de ataque. “Nesse caso, os atacantes não precisaram forçar a entrada e acabaram autorizados por meio de um mecanismo legítimo de atualização. Para governos e empresas, a orientação é que os princípios de confiança zero ultrapassem o perímetro e sejam aplicados também aos sistemas e softwares mais críticos.”

 

Embora vulnerabilidades de dia zero nem sempre possam ser evitadas, o impacto pode ser reduzido com medidas imediatas, especialmente em órgãos públicos e operadores de infraestrutura crítica. Isso inclui autlização de correção dessa falha, bem como monitoramento das atualizações, detecção de abuso de confiança interna, proteção da infraestrutura crítica e adotar abordagens de violação presumida.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Pesquisa: Falhas evitáveis são determinantes no aumento de incidentes no Brasil

Análise da DANRESA alerta para o aumento de incidentes de Segurança no país não é reflexo exclusivo de ataques complexos,...
Security Report | Overview

Brasil ultrapassa 4 mil ciberataques semanais por organização, alerta reporte

Relatório mensal da Check Point aponta que o país ficou acima da média mundial - com crescimento de 4% nessa...
Security Report | Overview

E-commerce brasileiro barra mais de 110 mil tentativas de fraude em maio

Levantamento da Serasa Experian revela que ações fraudulentas evitadas poderiam causar prejuízo de R$ 107,6 milhões ao varejo, com criminosos...
Security Report | Overview

Setor financeiro se mobiliza para combater golpes em viagens

Com o aumento de excursões, hospedagens e compras online no período de recesso escolar, banco reforça dicas práticas para evitar...