* Plugin Popular do WordPress tem Brecha sem Correção Disponível.
Mais de 100 mil sites WordPress estão sob risco devido a uma falha crítica ainda não corrigida no plugin TI WooCommerce Wishlist, usado para permitir que clientes salvem e compartilhem produtos desejados em lojas virtuais. A vulnerabilidade, identificada como CVE-2025-47577, recebeu a pontuação máxima de gravidade na escala CVSS: 10.0. Segundo pesquisadores,, a falha permite que invasores não autenticados façam upload de arquivos maliciosos diretamente para o servidor, sem qualquer verificação. Isso ocorre porque a função vulnerável tinvwl_upload_file_wc_fields_factory usa o método nativo wp_handle_upload, mas desativa os parâmetros de segurança “test_form” e “test_type”, responsáveis por validar o tipo de arquivo e a origem da requisição. Com essa validação desativada, qualquer tipo de arquivo pode ser carregado, incluindo scripts PHP maliciosos que podem ser usados para execução remota de código (RCE). No entanto, para que o ataque funcione, o site WordPress também precisa ter o plugin WC Fields Factory instalado e ativo, já que a função vulnerável só é acessível nessas condições. Até o momento, não há correção disponível. A recomendação para administradores de sites que utilizam o plugin é desativá-lo e removê-lo imediatamente. Desenvolvedores são orientados a evitar desabilitar as validações de segurança ao utilizar a função de upload do WordPress.
* Ransomware Atinge Clientes Após Brecha em Ferramenta de MSP.
O grupo cibercriminoso DragonForce explorou falhas no software de monitoramento remoto SimpleHelp para invadir os sistemas de um provedor de serviços gerenciados (MSP) e distribuir ransomware em dispositivos de diversos clientes. As três vulnerabilidades usadas na ação (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728) foram divulgadas em janeiro de 2025 e permitiram o acesso à instância legítima do SimpleHelp operada pelo MSP. Com esse acesso, os invasores exfiltraram dados e coletaram informações sobre dispositivos, usuários e redes das empresas atendidas. Embora um cliente tenha conseguido bloquear a intrusão, outros sofreram com roubo de dados e ataques de ransomware, caracterizando uma campanha de dupla extorsão. O caso revela a sofisticação crescente do DragonForce, que se consolidou como um “cartel de ransomware”, permitindo que afiliados customizem versões do malware com suas próprias marcas. Essa evolução ocorreu paralelamente a ataques e desestruturações de grupos rivais como BlackLock, Mamona e à suposta tomada hostil do coletivo RansomHub. Indícios apontam que o grupo Scattered Spider pode ter atuado como facilitador dos acessos iniciais. Apesar de prisões em 2024, ainda há pouca clareza sobre o recrutamento de jovens do Reino Unido e dos EUA por coletivos como o The Com. O cenário atual é marcado por descentralização, disputas por domínio entre grupos e uso crescente de inteligência artificial na criação de malwares. Especialistas recomendam limitar o uso de softwares de acesso remoto, bloquear tráfego indevido e reforçar o treinamento de funcionários contra golpes de engenharia social.
* Malware para Windows Evita Detecção com Cabeçalhos Corrompidos.
Pesquisadores descobriram um ataque cibernético incomum envolvendo um trojan de acesso remoto para Windows que permaneceu indetectado por semanas. O malware utilizava cabeçalhos DOS e PE corrompidos, que são componentes essenciais de arquivos executáveis do Windows, com o objetivo de dificultar a análise e escapar da detecção. O cabeçalho DOS garante a compatibilidade do executável com sistemas antigos, enquanto o cabeçalho PE contém as. informações necessárias para que o Windows carregue e execute o programa. Ao corromper essas estruturas, o malware evita que ferramentas comuns identifiquem corretamente sua organização interna, dificultando o trabalho dos analistas. O trojan foi encontrado em execução dentro do processo dllhost.exe, funcionando como um arquivo PE de 64 bits. Ele foi ativado por meio de scripts em lote e comandos do PowerShell em um ambiente comprometido. Embora não tenha sido possível extrair o malware diretamente, foi obtido um despejo completo da memória do sistema afetado, permitindo sua análise em ambiente controlado. Uma vez em execução, o malware decripta na memória o endereço do servidor de comando e controle e se comunica com ele por meio do protocolo TLS. Enquanto isso, o processo principal permanece inativo até o fim da comunicação. O programa malicioso possui recursos como captura de tela, controle e modificação de serviços do sistema e ainda atua como servidor, possibilitando múltiplas conexões simultâneas de invasores. Essa estrutura transforma o sistema infectado em uma plataforma de acesso remoto, permitindo ações adicionais de forma discreta.
O post Boletim Diário de Cibersegurança apareceu primeiro em BoletimSec.
