* Samsung Corrige Falha Crítica no MagicINFO 9 Usada Para Espalhar Botnet Mirai.
A Samsung lançou atualizações de segurança para corrigir uma falha crítica no servidor MagicINFO 9, que vinha sendo explorada ativamente por cibercriminosos. Registrada como CVE-2025-4632 e com pontuação CVSS de 9.8, a vulnerabilidade é uma falha de “path traversal”, permitindo que invasores escrevam arquivos arbitrários com privilégios de sistema. Essa brecha é, na verdade, um bypass de uma falha anterior (CVE-2024-7399), corrigida pela Samsung em agosto de 2024. No entanto, a nova vulnerabilidade continuava presente mesmo em versões mais recentes do software, como a 21.1050.0. Após a publicação de um código de prova de conceito (PoC) em 30 de abril de 2025 pela SSD Disclosure, ataques começaram a surgir, inclusive com uso do botnet Mirai para comprometer sistemas. A empresa de cibersegurança Huntress identificou três incidentes distintos envolvendo a exploração da CVE-2025-4632, nos quais atacantes não identificados baixaram e executaram cargas maliciosas como “srvany.exe” e “services.exe”, além de realizarem comandos de reconhecimento. A correção definitiva foi implementada na versão 21.1052.0 do MagicINFO 9. Usuários ainda utilizando as versões v8 ou v9 21.1050.0 continuam vulneráveis e devem aplicar as atualizações o quanto antes. Huntress também alerta que a atualização não é direta da v8 para a versão corrigida, sendo necessário primeiro atualizar para 21.1050.0 antes de aplicar o patch final.

* Pacote Npm Malicioso usa Google Calendar e Esteganografia Para Ocultar Malware.
Pesquisadores de segurança cibernética identificaram um pacote malicioso no repositório npm chamado “os info checker es6” que se disfarça como utilitário de sistema mas serve para instalar cargas maliciosas em máquinas comprometidas. O pacote utiliza uma técnica sofisticada de esteganografia baseada em Unicode para esconder o código nocivo e emprega um link encurtado do Google Calendar como dropper dinâmico do estágio final do ataque. Publicado em 19 de março de 2025 por um usuário chamado “kim9123” o pacote já teve 2001 downloads. Outro pacote do mesmo autor chamado “skip tot” também está disponível e lista o “os info checker es6” como dependência. Embora as cinco primeiras versões não apresentassem atividade maliciosa uma atualização enviada em 7 de maio incluiu código ofuscado no arquivo “preinstall.js” que usa caracteres de acesso privado Unicode para ocultar e extrair uma carga secundária. O código malicioso contata um link de evento do Google Calendar cujo título é uma string Base64 que ao ser decodificada aponta para um servidor remoto com o IP 140.82.54.223. Esse uso do Google Calendar dificulta a detecção pois o serviço atua como intermediário para mascarar a infraestrutura dos atacantes. Até o momento nenhuma carga adicional foi entregue o que pode indicar que a campanha ainda está em desenvolvimento foi encerrada ou o servidor de comando e controle responde apenas a máquinas específicas. Três outros pacotes chamados “vue dev serverr” “vue dummyy” e “vue bit” também referenciam o “os info checker es6” como dependência sugerindo que fazem parte da mesma campanha. Segundo a Veracode trata-se de uma ameaça sofisticada e em evolução no ecossistema npm. Empresas como Veracode e Socket alertam para o aumento de técnicas como typoquatting execução em múltiplos estágios e abuso de ferramentas legítimas. Especialistas recomendam análise estática e dinâmica validação de dependências e monitoramento rigoroso em ambientes CI/CD.

* Operação RoundPress Visa E-mails de Órgãos Públicos e Empresas de Defesa.
O grupo APT28 ligado ao governo russo foi associado a uma operação de espionagem cibernética que explorou falhas em servidores de webmail como Roundcube, Horde, Zimbra e MDaemon. A campanha, chamada de Operação RoundPress pela empresa eslovaca de cibersegurança ESET, tem como objetivo principal roubar dados confidenciais de contas de e-mail, especialmente de entidades governamentais e empresas de defesa do Leste Europeu, com alvos também na África, Europa Ocidental e América do Sul. A operação utilizou vulnerabilidades de execução de código JavaScript em contexto de navegador, conhecidas como XSS. Algumas dessas falhas já eram conhecidas e corrigidas, como CVE 2023 43770 no Roundcube e CVE 2024 27443 no Zimbra. No entanto, a falha explorada no MDaemon, identificada como CVE 2024 11182, era desconhecida até então e considerada uma zero day, corrigida apenas em novembro de 2024. O ataque começa com o envio de e-mails que parecem inofensivos, mas que contêm código HTML malicioso. Quando o destinatário abre a mensagem no webmail vulnerável, um código JavaScript ofuscado é executado, permitindo o roubo de credenciais, e-mails e contatos. No caso do Roundcube, o malware SpyPress também cria regras automáticas que encaminham todos os e-mails recebidos para um endereço controlado pelos atacantes, garantindo persistência mesmo após o fechamento da mensagem. Segundo a ESET, os principais alvos em 2024 foram órgãos do governo da Ucrânia e empresas de defesa na Bulgária e Romênia, além de instituições na Grécia, Camarões, Equador, Sérvia e Chipre. O sucesso da campanha se deve à baixa frequência de atualização dos servidores de webmail e à possibilidade de ativar o ataque apenas com o envio de uma mensagem.