A Redbelt Security reuniu em um relatório inédito as principais vulnerabilidades exploradas por agentes de ameaças no Brasil e no mundo recentemente. O levantamento detalhou diferentes tipos de ciberataques em grandes empresas de tecnologia, como o Google que relatou 75 vulnerabilidades de dia zero exploradas em 2024, sendo 44% direcionadas a produtos de segurança corporativa.
O relatório mostrou desde o uso de extensões falsas do Chrome até o aproveitamento de softwares corporativos legítimos para infiltração em sistemas, com destaque para uma campanha que atinge executivos brasileiros por meio de e-mails falsos com notas fiscais e ferramentas de monitoramento remoto (RMM). As vulnerabilidades recentemente identificadas são que o Google, ao longo de 2024 revelou que foram observadas 75 vulnerabilidades do tipo zero-day ativamente exploradas.
Segundo os especialistas, esse tipo de falha se refere a falhas ainda desconhecidas pelos fornecedores de software no momento do ataque, ou seja, para as quais não há correção disponível. Do total, 44% tiveram como alvo produtos corporativos, com destaque para softwares e dispositivos de segurança, segmento que concentrou 20 dessas falhas. O Microsoft Windows foi o sistema mais afetado, seguido por Android, Chrome, Safari , iOS e Firefox.
Além disso, a pesquisa revelou golpes envolvendo vídeos no TikTok e aplicativos falsos estão sendo usados para espalhar malwares em computadores com Windows e macOS. A técnica conhecida como ClickFix vem ganhando força, a qual ela induz o próprio usuário a executar comandos maliciosos no computador, acreditando que está ativando programas como Windows, Office ou Spotify. O conteúdo é apresentado por vídeos tutoriais falsos, muitas vezes produzidos com ajuda de inteligência artificial, e compartilhado por perfis que já foram removidos da plataforma. Ao seguir os passos, a vítima instala sem perceber programas espiões que roubam senhas, dados bancários e outras informações sensíveis.
Os pesquisadores descobriram uma falha crítica no OneDrive File Picker, ferramenta da Microsoft usada para selecionar e enviar arquivos na nuvem. A vulnerabilidade permite que sites ou aplicativos obtenham acesso completo ao conteúdo da conta do usuário, mesmo quando este autoriza o envio de apenas um arquivo. Aplicações populares como ChatGPT, Slack, Trello e ClickUp podem ser afetadas, por utilizarem integração com o OneDrive. Segundo a empresa Oasis Security, o problema está na concessão de permissões excessivas, o seletor solicita acesso de leitura a toda a unidade, sem aplicar escopos refinados via OAuth.
O aviso de consentimento exibido aos usuários é vago e não esclarece o nível real de acesso. A Microsoft reconheceu a falha após a divulgação responsável, mas ainda não lançou uma correção. Enquanto isso, a organização recomendou desativar uploads via OAuth no OneDrive e evitar o uso de tokens de atualização. Tokens de acesso devem ser armazenados com segurança e descartados quando não forem mais necessários.
Outro fator apontado no relatório é a campanha maliciosa mais de 100 extensões falsas para o navegador Google Chrome. Segundo os dados, embora se apresentem como utilitários legítimos, essas extensões contêm funções ocultas para roubar dados, executar comandos remotos e rodar código malicioso. Entre as ações realizadas estão o roubo de credenciais e cookies, sequestro de sessões de login, injeção de anúncios, redirecionamentos maliciosos e manipulação do DOM .
Essas extensões, de acordo com os especialistas, abusam de permissões excessivas concedidas via o arquivo manifest.json, podendo interagir com todos os sites visitados e carregar scripts de domínios controlados pelos invasores. O Google já removeu as extensões da Chrome Web Store. Como prevenção, é importante instalar apenas extensões de desenvolvedores verificados, revisar as permissões solicitadas e verificar avaliações antes da instalação.
