A falsificação de marcas, sites e e-mails corporativos está se tornando uma técnica cada vez mais comum usada por cibercriminosos. A Organização Mundial da Propriedade Intelectual (OMPI) relatou um aumento nesses incidentes em 2025. Embora as empresas de tecnologia e as marcas de consumo sejam os alvos mais frequentes, todos os setores, em todos os países, correm risco. A única coisa que muda é como os impostores exploram as falsificações. Na prática, é comum ver os seguintes cenários de ataques:

• Atrair os clientes para um site falso para coletar credenciais de login da loja on-line real ou para roubar informações de pagamento para roubo direto.
• Atrair funcionários e parceiros de negócios para um portal de login corporativo falso para adquirir credenciais legítimas a fim de se infiltrar na rede corporativa.
• Solicitar que clientes entrem em contato com os golpistas sob vários pretextos: obter suporte técnico, processar um reembolso, concorrer a um prêmio ou reivindicar compensação por eventos públicos envolvendo a marca. O objetivo é enganar as vítimas e roubar o máximo de dinheiro possível.
• Atrair parceiros de negócios e funcionários para páginas cuidadosamente criadas para imitar os sistemas internos da empresa, para que eles aprovem um pagamento ou redirecionem um pagamento legítimo para os golpistas.
• Solicitar que clientes, parceiros de negócios e funcionários baixem malware (na maioria das vezes um infostealer) disfarçado de software corporativo de um site falso da empresa.

Aqui, as palavras “atrair” e “persuadir” englobam um conjunto completo de táticas: e-mail, mensagens em aplicativos de bate-papo, postagens de mídia social que parecem anúncios oficiais, sites semelhantes promovidos por ferramentas de SEO e até anúncios pagos.

Todos esses artifícios compartilham duas características em comum. Primeiro, os invasores analisam a marca da organização e se esforçam para imitar o site oficial, nome de domínio e estilo corporativo de e-mails, anúncios e postagens de mídia social. E a falsificação não precisa ser perfeita, mas apenas convincente o suficiente para pelo menos alguns parceiros de negócios e clientes. Em segundo lugar, embora a organização e seus recursos on-line não sejam alvos diretos, o impacto sobre eles ainda é significativo.

Danos comerciais causados pela falsificação da identidade de marcas

Quando as falsificações são criadas para atingir funcionários, um ataque pode causar perdas financeiras diretas. É possível persuadir um funcionário para transferir fundos da empresa ou usar suas credenciais para roubar informações confidenciais ou iniciar um ataque de ransomware.

Os ataques a clientes normalmente não causam danos diretos aos cofres da empresa, mas geram danos indiretos substanciais nas seguintes áreas:

• Sobrecarga da equipe de suporte ao cliente. Os clientes que “compraram” um produto em um site falso provavelmente entrarão em contato com a equipe real de suporte ao cliente para resolver o problema. Convencer os clientes de que a compra, na verdade, nunca foi feita é difícil, o que torna cada caso uma grande perda de tempo para vários agentes de suporte.
• Danos à reputação. Os clientes vítimas de fraude geralmente culpam a marca por não protegê-los contra o golpe, além de exigir compensação. De acordo com uma pesquisa europeia, cerca de metade dos compradores afetados exigem uma compensação e podem optar por parar de usar os serviços da empresa, muitas vezes compartilhando sua experiência negativa nas mídias sociais. Isso é especialmente prejudicial se as vítimas forem figuras públicas ou tiverem muitos seguidores nas redes sociais.
• Custos de resposta não planejados. Dependendo das especificidades e da escala de um ataque, uma empresa afetada pode precisar de serviços de perícia digital e resposta a incidentes (DFIR), bem como consultores especializados em direito do consumidor, propriedade intelectual, segurança cibernética e relações públicas de crise.
• Prêmios de seguro mais altos. As seguradoras contratadas pelas empresas para protegê-las contra incidentes cibernéticos levam em consideração as consequências geradas pela falsificação da identidade da marca. Um perfil de risco aumentado pode acarretar um prêmio mais alto para uma empresa.
• Desempenho do site prejudicado e aumento dos custos com anúncios. Se os criminosos exibem anúncios pagos usando o nome de uma marca, eles desviam o tráfego do site oficial. Além disso, se uma empresa paga para anunciar seu site, o custo por clique sobe devido ao aumento da concorrência. Esse é um problema particularmente grave para empresas de TI que vendem serviços on-line, mas também é relevante para marcas de varejo.
• Declínio de indicadores de longo prazo. Isso inclui queda no volume de vendas, na participação e na capitalização de mercado. Tudo isso é consequência da perda de confiança dos clientes e parceiros de negócios após incidentes importantes.

O seguro cobre os danos?

Normalmente, as apólices de seguro populares contra riscos cibernéticos cobrem apenas custos diretamente vinculados a incidentes especificados na política, como perda de dados, interrupção dos negócios, comprometimento do sistema de TI, entre outros. Domínios e páginas da Web falsos não causam danos diretos aos sistemas de TI de uma empresa. Portanto, eles geralmente não são cobertos por um seguro padrão. Os danos à reputação e o próprio ato de falsificação de identidade representam riscos distintos, exigindo cobertura expandida do seguro específica para este cenário.

Das perdas indiretas listadas acima, um seguro padrão pode cobrir as despesas do DFIR e, em alguns casos, custos extras de suporte ao cliente (se a situação for reconhecida como um evento segurado). É quase certo que reembolsos voluntários a clientes, vendas perdidas e danos à reputação não estão cobertos.

O que fazer se sua empresa for atacada por clones

Se você descobrir que alguém está usando o nome da sua marca com o objetivo de cometer fraude, faz sentido fazer o seguinte:

• Envie notificações claras e diretas aos clientes explicando o que aconteceu, quais medidas estão sendo tomadas e como eles podem verificar a autenticidade de sites oficiais, e-mails e outras comunicações.
• Crie uma página simples de um “centro de confiança”, contendo domínios oficiais, contas de mídia social, links da loja de aplicativos e contatos de suporte. Garanta acesso fácil à página e a mantenha atualizada.
• Monitore novos registros de páginas de mídia social e domínios que contenham os nomes da sua marca a fim de detectar os clones antes que um ataque seja iniciado.
• Siga um procedimento de remoção. Isso envolve coletar provas, fazer reclamações aos registradores de domínio, provedores de hospedagem e administradores de mídia social e, em seguida, rastrear as falsificações até que todas elas sejam removidas. Para gerar um registro completo e preciso das violações, reúna URLs, capturas de tela, metadados e informações sobre a data e hora da descoberta. O ideal é também examinar o código-fonte das páginas falsas, pois ele pode conter pistas que apontem para outros componentes da operação criminosa.
• Adicione um formulário simples ao seu site oficial e/ou aplicativo para que os clientes possam denunciar sites ou mensagens suspeitos. Isso ajuda você a identificar os problemas mais cedo.
• Coordene as atividades entre as equipes jurídica, de segurança cibernética e de marketing. Isso garante uma resposta consistente, unificada e eficaz.

Como se defender contra ataques de falsificação de identidade de marcas

Embora a natureza aberta da Internet e as especificidades desses ataques façam com que seja impossível se prevenir totalmente contra eles, uma empresa pode se manter informada sobre novas falsificações e dispor de ferramentas para reagir a ataques.

• Faça o monitoramento contínuo de atividades públicas suspeitas usando serviços de monitoramento especializados. O indicador mais óbvio é o registro de domínios semelhantes ao nome da sua marca. Mas existem outros, como a compra de bancos de dados relacionados à sua organização na dark Web. O melhor a ser feito é terceirizar o monitoramento abrangente de todas as plataformas para um provedor de serviços especializado, como o Kaspersky Digital Footprint Intelligence (DFI).
• A maneira mais rápida e simples de remover um site ou um perfil de mídia social falsos é registrar uma reclamação de violação de marca registrada. Certifique-se de que seu portfólio de marcas registradas seja robusto o suficiente para registrar reclamações de acordo com os procedimentos da UDRP antes de precisar utilizá-los.
• Ao descobrir falsificações, implemente os procedimentos da UDRP imediatamente para que os domínios falsos sejam transferidos ou removidos. No caso de mídias sociais, siga o procedimento de violação específico da plataforma, facilmente encontrado ao pesquisar por “[social media name] violação de marca registrada” (por exemplo, “Violação de marca registrada do LinkedIn“). É preferível transferir o domínio para o proprietário legítimo em vez de excluí-lo, pois isso evita que os golpistas o registrem novamente. Muitos serviços de monitoramento contínuo, como o Kaspersky Digital Footprint Intelligence, também oferecem um serviço de remoção rápida, registrando reclamações em nome da marca protegida.
• Aja rapidamente para bloquear domínios falsos nos seus sistemas corporativos. Isso não protegerá parceiros ou clientes, mas dificultará os ataques direcionados aos seus próprios funcionários.
• Registre o nome do site da sua empresa e suas variações comuns (por exemplo, com e sem hifens) em todos os principais domínios conhecidos, como .com e extensões locais. Isso ajuda a proteger parceiros e clientes contra erros de digitação comuns e sites imitadores simples.

A polícia sul-coreana prendeu quatro suspeitos ligados à violação de aproximadamente 120 mil câmeras IP instaladas em residências e espaços comerciais, incluindo karaokês, estúdios de pilates e uma clínica de ginecologia. Dois dos hackers venderam imagens sexualmente explícitas captadas pelas câmeras por meio de um site estrangeiro de conteúdo adulto. Nesta publicação, explicamos o que são as câmeras IP e quais as suas vulnerabilidades. Também nos aprofundamos nos detalhes do incidente na Coreia do Sul e compartilhamos conselhos práticos sobre como evitar se tornar um alvo para invasores que buscam conteúdo de vídeos íntimos.

Como as câmeras IP funcionam?

Uma câmera IP é uma câmera de vídeo conectada à Internet usando o Protocolo de Internet (IP). Essa conexão faz com que seja possível visualizar seu feed remotamente usando um smartphone ou computador. Ao contrário dos sistemas de vigilância CCTV tradicionais, essas câmeras não exigem uma central de vigilância local, como mostrado nos filmes, nem mesmo um computador dedicado conectado a elas. Uma câmera IP transmite o vídeo em tempo real pela Internet para qualquer dispositivo que esteja conectado a ela. Atualmente, a maioria dos fabricantes de câmeras IP também oferece planos opcionais de armazenamento em nuvem, permitindo que você acesse as imagens gravadas em qualquer lugar do mundo.

Nos últimos anos, as câmeras IP se tornaram muito populares e estão por toda parte, sendo usadas para os mais diversos fins: desde cuidar de crianças e animais de estimação em casa até proteger armazéns, escritórios, apartamentos de aluguel por temporada (às vezes de maneira irregular) e pequenos negócios. Modelos básicos podem ser encontrados online por preços a partir de 25 a 40 dólares.

Um dos recursos essenciais das câmeras IP é terem sido projetadas originalmente para acesso remoto. A câmera conecta-se à Internet e aceita silenciosamente conexões de entrada, e ela já pode transmitir vídeo para qualquer pessoa que tenha seu endereço e senha. E isso gera dois problemas comuns desses dispositivos.

1. Senhas padrão. Os proprietários de câmeras IP não costumam alterar os nomes de usuário e senhas padrão que já vêm pré-configurados no dispositivo.
2. Vulnerabilidades em softwares desatualizados. Atualizações de software para câmeras geralmente exigem intervenção manual: você precisa acessar a interface de administração, verificar se há uma atualização e instalá-la manualmente. Muitos usuários costumam ignorar isso completamente. Ou pior, as atualizações podem nem ao menos existir, pois muitos fornecedores de câmeras ignoram a segurança e deixam de oferecer suporte logo após a venda.

O que aconteceu na Coreia do Sul?

Vamos voltar ao que ocorreu neste outono na Coreia do Sul. As autoridades policiais relataram uma violação de cerca de 120 mil câmeras IP e a prisão de quatro suspeitos ligados aos ataques. Aqui está o que sabemos sobre cada um deles.

• Suspeito 1, desempregado, hackeou cerca de 63 mil câmeras IP, produziu e depois vendeu 545 vídeos de conteúdo sexual explícito por um total de 35 milhões de wons sul-coreanos, o equivalente a pouco menos de 24 mil dólares.
• Suspeito 2, funcionário de escritório, violou cerca de 70 mil câmeras IP e vendeu 648 vídeos sexuais ilícitos por 18 milhões de wons sul-coreanos (cerca de 12 mil dólares).
• Suspeito 3, autônomo, hackeou 15 mil câmeras IP e criou conteúdo ilegal, incluindo imagens de menores de idade. Até o momento, não há informações indicando que ele vendeu algum material.
• Suspeito 4, funcionário de escritório, aparentemente violou apenas 136 câmeras IP e não foi acusado de produzir ou vender conteúdo ilegal.

O leitor atento pode ter percebido que os números não batem exatamente: as cifras acima totalizam bem mais de 120 mil. As autoridades sul-coreanas não forneceram uma explicação clara para essa discrepância. Os jornalistas especulam que alguns dispositivos podem ter sido comprometidos por mais de um invasor.

A investigação revelou que só dois suspeitos venderam o conteúdo sexual que roubaram. No entanto, a dimensão da operação deles é impressionante. No ano passado, o site que ambos os autores utilizaram para vender seus vídeos e que hospeda conteúdo de voyeurismo e exploração sexual recebeu 62% de seus uploads só desses indivíduos. Em essência, isso significa que a dupla de entusiastas de vídeo forneceu a maior parte do conteúdo ilegal da plataforma. Também foi relatada a detenção de três compradores desses vídeos.

Os investigadores sul-coreanos conseguiram identificar com precisão o local de 58 câmeras hackeadas. Eles notificaram as vítimas e forneceram orientações sobre como alterar as senhas para proteger suas câmeras IP. Ainda que os investigadores não tenham divulgado detalhes sobre o método de comprometimento, isso indica que os invasores usaram força bruta para decifrar as senhas simples das câmeras.

Outra possibilidade é que os proprietários, como acontece com frequência, simplesmente nunca tenham alterado os nomes de usuário e as senhas padrão. Essas credenciais padrão são amplamente conhecidas, portanto, é perfeitamente plausível que, para obter acesso, os invasores só precisassem saber o endereço IP da câmera e testar algumas combinações comuns de nome de usuário e senha.

Como evitar ser vítima de hackers voyers

As principais lições de todo esse dorama sul-coreano saem diretamente do nosso manual:

• Sempre substitua as credenciais de fábrica por logins e senhas próprios.
• Nunca use senhas fracas ou simples, mesmo para contas ou gadgets aparentemente inofensivos. Você não precisa trabalhar no Louvre para ser um alvo. Não é possível saber quais credenciais os invasores tentarão quebrar ou para onde essa violação inicial pode levá-los.
• Sempre defina senhas exclusivas. Ao reutilizar senhas, um vazamento de dados de um serviço pode colocar todas as suas outras contas em risco.

Essas regras são universais: valem tanto para contas de redes sociais e serviços bancários quanto para robôs aspiradores, câmeras IP e qualquer outro dispositivo inteligente da sua casa.

Para manter todas essas senhas exclusivas organizadas sem perder a cabeça, recomendamos um gerenciador de senhas confiável. O Kaspersky Password Manager pode armazenar todas as suas credenciais com segurança e gerar senhas aleatórias, complexas e indecifráveis. Com ele, você pode ter a tranquilidade de que ninguém descobrirá as senhas de suas contas ou dispositivos. Além disso, ele ajuda você a gerar códigos únicos para autenticação de dois fatores, salvar e preencher automaticamente chaves de acesso e sincronizar seus dados sensíveis (não apenas logins e senhas, mas também dados de cartões bancários, documentos e até fotos privadas) de forma criptografada em todos os seus dispositivos.

Desconfia que uma câmera oculta pode estar filmando você? Leia mais em nossas publicações:

• Perseguição por webcam: fato ou ficção?
• Segurança ao usar o Airbnb: dicas para viagem tranquila
• Quatro maneiras de encontrar câmeras espiãs
• Lumos: Sistema de detecção de dispositivos IoT
• Perigos na segurança das câmeras IP

Imagine que convidaram você para um jogo de pôquer privado com atletas famosos. Em quem você confiaria mais para embaralhar as cartas: em um crupiê ou em um dispositivo automatizado especializado? Fundamentalmente, essa questão se resume ao que você mais acredita: na honestidade do crupiê ou na confiabilidade da máquina. É provável que muitos jogadores de pôquer prefiram o dispositivo especializado, já que é muito mais difícil subornar ou coagir uma máquina do que um ser humano. No entanto, em 2023, pesquisadores de segurança cibernética demonstraram que um dos modelos mais populares, o DeckMate 2, fabricado pela Light & Wonder, é, na verdade, muito fácil de hackear.

Dois anos depois, a polícia encontrou vestígios de manipulação desses dispositivos não em um laboratório, mas em estabelecimentos. Esta postagem detalha como o embaralhador DeckMate 2 funciona, por que seu design facilita a trapaça, como os criminosos usaram o hack e o que o basquete tem a ver com tudo isso.

Como funciona o embaralhador automático de cartas DeckMate 2

O embaralhador automático DeckMate 2 começou a ser fabricado em 2012. Desde então, ele se tornou um dos modelos mais populares, usado em quase todos os principais cassinos e clubes de pôquer privados do mundo. O dispositivo é uma caixa preta, quase do tamanho de uma fragmentadora de papel comum, geralmente instalada sob a mesa de pôquer.

Na superfície da mesa, é possível ver apenas um pequeno compartimento onde as cartas são colocadas para serem embaralhadas. É provável que a maioria dos jogadores comuns não perceba que a parte “submersa” do “iceberg” é muito maior e mais complexa do que parece à primeira vista.

Depois que o crupiê coloca o baralho dentro do DeckMate 2, a máquina faz as cartas passarem pelo módulo de leitura, uma a uma. Nesse estágio, o dispositivo verifica se o baralho contém todas as 52 cartas e nada além delas. Se houver algo fora do normal, a tela conectada exibirá um alerta. Depois, a máquina embaralha as cartas e devolve o baralho ao crupiê.

O DeckMate 2 leva apenas 22 segundos para embaralhar e verificar as cartas. A verificação de cartas ausentes ou extras é feita por uma câmera interna que confere todas. Ela também participa da ordenação do baralho. É difícil imaginar o uso prático desse último recurso em jogos de cartas. Supõe-se que os designers o adicionaram apenas porque podiam.

Seguindo adiante, foi exatamente essa câmera que literalmente permitiu que pesquisadores e infratores visualizassem a sequência das cartas. O modelo anterior, chamado Deck Mate, não tinha essa câmera e, portanto, não oferecia uma maneira de espiar a ordem das cartas.

Para impedir a ação de hackers, o DeckMate 2 utiliza uma verificação de hash que garante que o software permaneça inalterado após a instalação. Na inicialização, o dispositivo calcula o hash do firmware e o compara com a referência armazenada na sua memória. Se os valores coincidirem, a máquina entende que o firmware está íntegro e prossegue. Caso contrário, identifica uma tentativa de adulteração.

Além disso, o design do DeckMate 2 inclui uma porta USB, que é usada para carregar atualizações de firmware. Os dispositivos DeckMate 2 também podem ser alugados da Light & Wonder em um modelo de pagamento por uso, em vez de adquiridos. Nesse caso, é comum eles estarem equipados com um modem celular que transmite dados de uso ao fabricante para fins de cobrança.

Como os pesquisadores conseguiram comprometer o DeckMate 2

Os leitores de longa data do nosso blog provavelmente já detectaram várias falhas no design do DeckMate 2 que foram exploradas pelos pesquisadores para sua prova de conceito. Eles fizeram uma demonstração na conferência de segurança cibernética Black Hat em 2023.

A primeira etapa do ataque foi conectar um pequeno dispositivo à porta USB. Para a prova de conceito, os pesquisadores usaram um microcomputador Raspberry Pi, que é menor do que a palma da mão de um adulto. No entanto, eles observaram que, com recursos suficientes, os infratores conseguem executar o mesmo ataque usando um módulo ainda mais compacto, que tem o tamanho de uma unidade flash USB padrão.

Depois de conectado, o dispositivo modificava o código do DeckMate 2 e assumia o controle. Isso também concedeu aos pesquisadores acesso à câmera interna mencionada acima, usada para verificar o baralho. Agora eles conseguiam visualizar a ordem exata das cartas no baralho em tempo real.

Essas informações foram transmitidas via Bluetooth para um celular próximo, onde um app experimental mostrava a sequência das cartas.

O sucesso do golpe depende do fato de que o cúmplice do trapaceiro mantém o celular com o app instalado. Essa pessoa pode então usar gestos discretos para o jogador trapaceiro.

O que permitiu aos pesquisadores obter esse grau de controle sobre o DeckMate 2 foi uma vulnerabilidade nas suas senhas embutidas no código. Para os testes, eles compraram vários embaralhadores usados, e um dos vendedores forneceu a eles a senha de manutenção do DeckMate 2. Os pesquisadores extraíram as senhas restantes diretamente do firmware, incluindo a senha de root.

Essas senhas de sistema no DeckMate 2 são definidas pelo fabricante e devem ser iguais em todos os aparelhos. Enquanto estudavam o código do firmware, os pesquisadores descobriram que as senhas estavam embutidas no sistema, tornando-as difíceis de alterar. Como resultado, o mesmo conjunto de senhas, conhecido por muita gente, provavelmente protege a maioria das máquinas em circulação. Isso significa que quase todos os dispositivos estão potencialmente vulneráveis ao ataque desenvolvido pelos pesquisadores.

Para burlar a verificação de hash, os pesquisadores simplesmente substituíram o hash de referência armazenado na memória. Na inicialização, o dispositivo calcularia o hash do código alterado, compararia com o valor também alterado e aceitaria o firmware como autêntico.

Os pesquisadores também notaram que modelos com modem celular poderiam ser invadidos remotamente por meio de uma estação falsa, enganando o dispositivo em vez de usar uma torre real. Embora eles não tenham testado a viabilidade desse vetor, ele não parece improvável.

Como a máfia manipulou máquinas DeckMate 2 em jogos de pôquer reais

Dois anos depois, os avisos dos pesquisadores receberam uma confirmação no mundo real. Em outubro de 2025, o Departamento de Justiça dos EUA indiciou 31 pessoas por fraudarem vários jogos de pôquer. De acordo com os documentos do caso, nesses jogos, um grupo criminoso usou vários meios técnicos para obter informações sobre as cartas dos adversários.

Esses meios incluíam cartas com marcações invisíveis detectáveis por telefones, óculos especiais e lentes de contato capazes de ler essas marcas secretamente. Mas, para o contexto desta postagem, o ponto essencial é que os golpistas também invadiram máquinas DeckMate 2, programadas para transmitir secretamente quais cartas seriam distribuídas a cada jogador.

E é aqui que finalmente vamos falar sobre basquete e atletas da NBA. De acordo com a acusação, o esquema envolveu membros de várias famílias da máfia e ex-jogadores da NBA.

A investigação revelou que os golpistas organizaram vários jogos de pôquer de alto risco ao longo de muitos anos em diversas cidades dos EUA. Vítimas ricas foram atraídas pela oportunidade de jogar com estrelas da NBA (que negam qualquer irregularidade). Os investigadores estimam que as vítimas perderam mais de US$ 7 milhões.

Os documentos divulgados contêm um relato minucioso de como os golpistas usaram máquinas DeckMate 2 hackeadas. Em vez de alterar dispositivos DeckMate 2 de terceiros via USB (como demonstrado pelos pesquisadores), os criminosos usaram unidades já hackeadas. Houve até mesmo um caso em que membros da máfia apontaram uma arma para uma pessoa e tomaram seu dispositivo comprometido.

Apesar dessa modificação peculiar, o essencial do ataque seguiu quase igual à prova de conceito dos pesquisadores. As máquinas comprometidas do DeckMate 2 repassaram dados a um operador remoto, que os encaminhou ao telefone de um dos participantes. Os criminosos chamavam esse operador de “quarterback”. O golpista então usava sinais sutis para influenciar o jogo.

O que podemos aprender com essa história

Os fabricantes do DeckMate 2 afirmaram aos jornalistas que, após a pesquisa sobre a vulnerabilidade do dispositivo, implementaram várias alterações no hardware e no software. Essas melhorias incluíram desativar a porta USB exposta e atualizar as rotinas de verificação do firmware. Certamente, os cassinos licenciados já instalaram essas atualizações. Bem, esperamos que sim.

No entanto, a integridade desses dispositivos usados em clubes de pôquer privados e cassinos ilegais segue bastante duvidosa. Esses locais costumam usar máquinas DeckMate 2 usadas sem atualizações ou manutenção, tornando-as mais vulneráveis. E isso sem considerar quando o próprio estabelecimento pode querer manipular as máquinas.

Apesar de todos os detalhes intrigantes do hack do DeckMate 2, os precursores são comuns: senhas reutilizadas, uma porta USB e, claro, jogos não licenciados. A este respeito, o único conselho para entusiastas de jogos é evitar clubes ilegais.

A principal lição desta história é que senhas padrão devem ser trocadas em qualquer dispositivo, seja um roteador Wi-Fi ou um embaralhador de cartas. Para gerar uma senha forte e exclusiva e ser capaz de lembrá-la, use um gerenciador de senhas confiável. A propósito, você também pode usar o Kaspersky Password Manager para gerar códigos de uso único para autenticação em duas etapas.

Poucos especialistas em cibersegurança discordariam de que ataques a servidores Microsoft Exchange devem ser considerados inevitáveis e o risco de comprometimento permanece consistentemente elevado. Em outubro, a Microsoft encerrou o suporte ao Exchange Server 2019, tornando o Exchange Server Subscription Edition (Exchange SE) a única solução on-premises suportada até 2026. Apesar disso, muitas organizações continuam operando o Exchange Server 2016, 2013 e até versões ainda mais antigas.

Para agentes de ameaça, o Exchange é um alvo irresistível. Sua popularidade, complexidade, vasta quantidade de configurações e, principalmente, sua acessibilidade a partir de redes externas o tornam suscetível a uma ampla variedade de ataques:

• Infiltração de caixas de correio por meio de ataques de password spraying ou spearphishing
• Comprometimento de contas devido ao uso de protocolos de autenticação obsoletos
• Roubo de e-mails específicos mediante a injeção de regras maliciosas de fluxo de e-mail via Exchange Web Services
• Sequestro de tokens de autenticação de funcionários ou falsificação de mensagens explorando falhas na infraestrutura de processamento de e-mails do Exchange
• Exploração de vulnerabilidades do Exchange para executar código arbitrário (implantação de Web shells) no servidor
• Movimento lateral e comprometimento do servidor, em que o Exchange se torna um ponto de apoio para reconhecimento de rede, hospedagem de malware e tunelamento de tráfego
• Exfiltração de e-mails a longo prazo por meio de implantes especializados para Exchange

Para compreender de fato a complexidade e a variedade dos ataques ao Exchange, vale revisar as pesquisas sobre as ameaças GhostContainer, Owowa, ProxyNotShell e PowerExchange.

Dificultar o comprometimento do Exchange pelos invasores e reduzir o impacto de um ataque bem-sucedido não é impossível, mas exige uma série de medidas que vão desde simples alterações de configuração até migrações complexas de protocolos de autenticação. Uma revisão conjunta de medidas de defesa prioritárias foi publicada recentemente pelo Centro Canadense de Cibersegurança (CISA) e por outros órgãos reguladores de cibersegurança. Então, como começar o fortalecimento de segurança do seu Exchange on-premises?

Migração de versões EOL

A Microsoft e a CISA recomendam a transição para o Exchange SE para garantir o recebimento pontual de atualizações de segurança. Para organizações que não conseguem realizar a migração imediatamente, há uma assinatura paga de Extended Security Updates (ESU) disponível para as versões de 2016 e 2019. A Microsoft enfatiza que atualizar a versão de 2016 ou 2019 para o Exchange SE tem complexidade semelhante à instalação de uma Cumulative Update padrão.

Se, por qualquer motivo, for necessário manter em operação uma versão sem suporte, ela deve ser rigidamente isolada tanto da rede interna quanto da externa. Todo o fluxo de e-mail deve ser roteado por um gateway de segurança de e-mail especialmente configurado.

Atualizações regulares

A Microsoft lança duas atualizações cumulativas por ano, além de hotfixes de segurança mensais. Uma tarefa essencial para administradores de Exchange é estabelecer um processo para implantar essas atualizações sem demora, já que agentes maliciosos não perdem tempo em explorar vulnerabilidades conhecidas. É possível acompanhar o cronograma e o conteúdo dessas atualizações na página oficial da Microsoft. Para verificar o estado geral e a situação de atualização da sua instalação do Exchange, utilize ferramentas como SetupAssist e Exchange Health Checker.

Mitigações emergenciais

Para vulnerabilidades críticas exploradas ativamente, instruções temporárias de mitigação costumam ser publicadas no blog do Exchange e na página de mitigações do Exchange. O serviço mitigação de emergência (EM) deve estar ativado nos seus servidores Exchange Mailbox. O EM conecta-se automaticamente ao Office Config Service para baixar e aplicar regras de mitigação para ameaças urgentes. Essas medidas podem desativar rapidamente serviços vulneráveis e bloquear solicitações maliciosas por meio de regras de reescrita de URL no IIS.

Baselines de segurança

Um conjunto uniforme de configurações, abrangendo toda a organização e otimizado às suas necessidades, deve ser aplicado não apenas aos servidores Exchange, mas também aos clientes de e-mail em todas as plataformas e aos sistemas operacionais subjacentes.

Como as baselines de segurança recomendadas diferem entre sistemas operacionais e versões do Exchange, o guia da CISA faz referência aos populares e gratuitos CIS Benchmarks e às instruções da Microsoft. O CIS Benchmark mais recente foi criado para o Exchange 2019, mas também é totalmente aplicável ao Exchange SE, já que as opções de configuração atuais do Subscription Edition não diferem das do Exchange Server 2019 CU15.

Soluções de segurança especializadas

Um erro crítico cometido por muitas organizações é não instalar agentes de EDR e EPP em seus servidores Exchange. Para prevenir a exploração de vulnerabilidades e a execução de Web shells, o servidor precisa ser protegido por uma solução de segurança como Kaspersky Endpoint Detection and Response. O Exchange Server integra-se à Antimalware Scan Interface (AMSI), o que permite que ferramentas de segurança processem eventos no lado do servidor de forma eficaz.

A lista de permissão de aplicativos pode dificultar significativamente as tentativas de invasores de explorar vulnerabilidades do Exchange. Esse recurso é padrão na maioria das soluções EPP avançadas. No entanto, se for necessário implementá-lo usando ferramentas nativas do Windows, é possível restringir aplicativos não confiáveis usando App Control for Business ou AppLocker.

Para proteger funcionários e suas máquinas, o servidor deve utilizar uma solução como o Kaspersky Security for Mail Serve para filtrar o tráfego de e-mail. Isso resolve diversos desafios para os quais o Exchange on-premises, em sua configuração padrão, não possui ferramentas suficientes, como autenticação de remetentes por meio dos protocolos SPF, DKIM e DMARC, ou proteção contra spam sofisticado e spearphishing.

Se, por qualquer motivo, um EDR completo não estiver implantado no servidor, é fundamental ao menos ativar o antivírus padrão e garantir que a regra de Attack Surface Reduction (ASR) “Block Webshell creation for Servers” esteja ativada.

Para evitar a degradação de desempenho do servidor ao utilizar o antivírus padrão, a Microsoft recomenda excluir arquivos e pastas específicas das verificações.

Restrição de acesso administrativo

Invasores frequentemente elevam privilégios abusando do acesso ao Exchange Admin Center (EAC) e ao PowerShell Remoting. As boas práticas determinam que essas ferramentas sejam acessíveis apenas por meio de um número limitado de estações de trabalho com privilégios elevados (PAWs). Isso pode ser aplicado por meio de regras de firewall nos próprios servidores Exchange ou utilizando um firewall. As regras de Client Access nativas no Exchange também podem oferecer alguma utilidade nesse cenário, mas não conseguem impedir o abuso de PowerShell.

Adoção de Kerberos e SMB em vez de NTLM

A Microsoft está eliminando gradualmente protocolos de rede e de autenticação legados. Instalações modernas do Windows desativam SMBv1 e NTLMv1 por padrão, com versões futuras devendo também desativar NTLMv2. Iniciando com o Exchange SE CU1, o NTLMv2 será substituído pelo Kerberos, implementado usando MAPI over HTTP, como o protocolo de autenticação padrão.

As equipes de TI e segurança devem conduzir uma auditoria completa do uso de protocolos legados na infraestrutura e desenvolver um plano de migração para métodos modernos e mais seguros de autenticação.

Métodos de autenticação modernos

A partir do Exchange 2019 CU13, os clientes podem utilizar uma combinação de OAuth 2.0, MFA e ADFS para uma autenticação robusta: uma estrutura conhecida como Modern Authentication, ou Modern Auth. Assim, um usuário só consegue acessar sua caixa de e-mail após concluir com sucesso a MFA via ADFS, com o servidor Exchange recebendo então um token de acesso válido do servidor ADFS. Depois que todos os usuários tiverem migrado para Modern Auth, a autenticação básica deve ser desativada no servidor Exchange.

Ativação do Extended Protection

O Extended Protection (EP) fornece defesa contra ataques de retransmissão NTLM, Adversary-in-the-Middle, e técnicas semelhantes. Ela aprimora a segurança TLS usando um Channel Binding Token (CBT). Se um invasor roubar credenciais ou um token e tentar usá-los em uma sessão TLS diferente, o servidor encerra a conexão. Para ativar o EP, todos os servidores Exchange devem estar configurados para usar a mesma versão do TLS.

O Extended Protection é ativado por padrão em novas instalações de servidor iniciando com o Exchange 2019 CU14.

Versões seguras de TLS

Toda a infraestrutura de servidores, incluindo todos os servidores Exchange, deve estar configurada para usar a mesma versão de TLS: 1.2 ou, idealmente, 1.3. A Microsoft oferece orientações detalhadas sobre a configuração ideal e verificações prévias necessárias. É possível usar o script Health Checker para verificar a correção e uniformidade dessas configurações.

HSTS

Para garantir que todas as conexões estejam protegidas por TLS, também é necessário configurar o HTTP Strict Transport Security (HSTS). Isso ajuda a prevenir certos ataques AitM. Após aplicar as alterações de configuração do Exchange Server recomendadas pela Microsoft, todas as conexões ao Outlook on the Web (OWA) e ao EAC serão forçadas a usar criptografia.

Download Domains

O recurso Download Domains fornece proteção contra certos ataques de falsificação de solicitação entre sites e roubo de cookies, movendo o download de anexos para um domínio diferente daquele que hospeda o Outlook on the Web da organização. Isso separa o carregamento da interface e da lista de mensagens do download de arquivos anexados.

Modelo de administração baseado em funções

O Exchange Server implementa um modelo de controle de acesso baseado em funções (RBAC) para usuários privilegiados e administradores. A CISA destaca que contas com privilégios de administrador do AD muitas vezes também são usadas para gerenciar o Exchange. Nessa configuração, o comprometimento do servidor Exchange leva imediatamente ao comprometimento total do domínio. Portanto, é fundamental usar permissões divididas e RBAC para separar o gerenciamento do Exchange de outros privilégios administrativos. Isso reduz o número de usuários e administradores com privilégios excessivos.

Assinatura de fluxos do PowerShell

Administradores frequentemente usam scripts PowerShell conhecidos como cmdlets para modificar configurações e gerenciar servidores Exchange por meio do Exchange Management Shell (EMS). O acesso remoto ao PowerShell deve, idealmente, ser desativado. Quando estiver ativado, os fluxos de dados de comando enviados ao servidor devem ser protegidos com certificados. Desde novembro de 2023, essa configuração está ativada por padrão para Exchange 2013, 2016 e 2019.

Proteção de cabeçalhos de e-mail

Em novembro de 2024, a Microsoft introduziu uma proteção aprimorada contra ataques que envolvem a falsificação de cabeçalhos P2 FROM, que levava as vítimas a acreditarem que os e-mails tinham sido enviados por um remetente confiável. Novas regras de detecção agora sinalizam e-mails em que esses cabeçalhos provavelmente foram manipulados. Administradores não devem desativar essa proteção e devem encaminhar e-mails suspeitos contendo o cabeçalho X-MS-Exchange-P2FromRegexMatch para especialistas em segurança para análise adicional.

[Kaspersky Next banner]

Câmeras veiculares, populares em alguns países e ilegais em outros, geralmente são vistas como um seguro em caso de acidente ou disputa no trânsito. Mas uma equipe de pesquisadores de segurança cibernética de Singapura tem outra visão. Eles consideram as câmeras veiculares off-line uma base adequada para um sistema de vigilância em massa: e mais, capaz de se expandir automaticamente. Eles apresentaram os detalhes de sua pesquisa no Security Analyst Summit 2025.

O potencial de espionagem de uma câmera veicular

Então, como um dispositivo off-line pode ser usado para vigilância? Bem, embora seja verdade que a maioria das câmeras veiculares não está equipada com um cartão SIM ou conectividade 4G/5G, mesmo modelos baratos têm Wi-Fi. Isso permite que o telefone do motorista se conecte ao dispositivo por meio de um aplicativo móvel para ajustar configurações, baixar vídeos e para outros fins. E, como sabemos, muitas câmeras veiculares permitem ignorar a etapa de autenticação, o que possibilita que um agente mal-intencionado se conecte a elas a partir do próprio dispositivo e então baixe os dados armazenados.

Um invasor tem muito a ganhar com isso. Primeiro, há o vídeo de alta resolução, que mostra claramente placas e sinais de trânsito. Alguns modelos de câmeras veiculares também gravam o interior do carro, e outros possuem lentes grande-angulares e/ou câmeras traseiras. Em segundo lugar, as câmeras veiculares podem gravar áudio, principalmente conversas dentro do veículo. Terceiro, essas gravações de áudio e vídeo levam carimbos de data e hora precisos, além de tags de GPS.

Portanto, ao baixar dados de uma câmera veicular, alguém pode rastrear os movimentos do proprietário, obter imagens dos locais onde ele dirige e estaciona, descobrir sobre o que se fala no carro e, muitas vezes, obter fotos e vídeos dos passageiros do veículo ou de pessoas próximas ao carro. Naturalmente, para a vigilância direcionada, o hacker precisaria comprometer uma câmera veicular específica, enquanto para a vigilância em massa, ele precisaria comprometer um grande número de dispositivos.

Vetores de ataque para câmeras veiculares

Os pesquisadores iniciaram seus experimentos com uma popular câmera veicular Thinkware, mas rapidamente ampliaram o escopo do estudo para incluir duas dúzias de modelos de cerca de 15 marcas diferentes.

Eles descobriram muitas semelhanças no funcionamento dos diferentes dispositivos. A conexão inicial normalmente é feita a um ponto de acesso Wi-Fi criado pela própria câmera veicular, usando o SSID e a senha padrão do manual.

A maioria dos modelos testados pelos pesquisadores tinha uma senha codificada, permitindo que um invasor estabelecesse uma conexão com eles. Uma vez conectado, o hacker obtém acesso a uma configuração familiar encontrada em outros gadgets de IoT: um processador ARM e uma versão leve do Linux. O invasor então tem à disposição um arsenal de truques comprovados para burlar a autenticação do fabricante, projetada para distinguir o proprietário de um usuário não autorizado. Pelo menos um desses métodos normalmente funciona:

• Acesso direto ao arquivo. Enquanto o minúsculo servidor Web na câmera veicular aguarda que um cliente envie uma senha no ponto de entrada oficial, as solicitações maliciosas para downloads diretos de vídeo geralmente passam sem uma verificação de senha
• Falsificação de endereço MAC. Muitas câmeras veiculares verificam a identidade do proprietário confirmando o endereço MAC exclusivo do adaptador Wi-Fi do smartphone. O invasor pode captar o endereço via ondas de rádio e depois usar uma forma falsificada em suas próprias requisições, o que basta para estabelecer a conexão
• Ataque de reprodução. Ao simplesmente gravar toda a troca de dados Wi-Fi entre a câmera veicular e o smartphone do proprietário durante uma conexão legítima, o invasor pode reproduzir essa gravação posteriormente para obter as permissões necessárias

A maioria dos serviços on-line está protegida contra esses tipos de ataques há anos, senão décadas. No entanto, essas vulnerabilidades clássicas do passado ainda são comumente descobertas em dispositivos incorporados.

Para que usuários possam revisar rapidamente arquivos gravados na tela do celular ou até acompanhar uma transmissão ao vivo da câmera, as câmeras veiculares geralmente operam múltiplos servidores semelhantes aos utilizados na Internet. Um servidor FTP permite downloads rápidos de arquivos, enquanto um servidor RTSP transmite vídeo ao vivo e assim por diante. Em teoria, esses servidores possuem segurança própria baseada em senha para protegê-los contra acessos não autorizados. Na prática, eles geralmente usam uma senha padrão, codificada, idêntica para cada unidade daquele modelo, uma senha que pode ser facilmente extraída do aplicativo móvel do fabricante.

O hack como chave-mestra

Por que os pesquisadores estão convencidos de que esses dispositivos podem ser comprometidos em grande escala? Devido a dois fatores principais:

• Alguns poucos modelos populares de câmeras veiculares representam a maior parte do mercado. Por exemplo, em Singapura, quase metade de todas as câmeras veiculares vendidas pertence à marca IMAKE
• Modelos diferentes, às vezes de marcas diferentes, têm arquiteturas de hardware e software muito semelhantes. Isso ocorre porque esses fabricantes de câmeras veiculares obtêm seus componentes e firmware do mesmo desenvolvedor

Consequentemente, um único código malicioso capaz de testar algumas dezenas de senhas e aplicar três ou quatro métodos distintos de ataque pode comprometer com sucesso cerca de um quarto das câmeras veiculares em um ambiente urbano real.

Na versão inicial do ataque, os pesquisadores modelaram um cenário semiestacionário. Nessa configuração, um invasor com um laptop estaria em um local onde os carros param por alguns minutos, como um posto ou drive-through. Contudo, investigações posteriores revelaram algo ainda mais preocupante: todo o ataque pode ser realizado diretamente na própria câmera veicular! Eles conseguiram escrever um código que funciona como um worm de computador: uma câmera veicular infectada tenta se conectar e comprometer as câmeras veiculares de carros próximos enquanto o veículo está em movimento. Isso é viável quando os veículos trafegam a velocidades semelhantes, como em congestionamentos.

Do ataque em massa à vigilância em massa

Os autores do estudo não se limitaram a provar que o hack era possível; eles desenvolveram um sistema completo para coleta e análise de dados. Os dados de câmeras veiculares comprometidas podem ser enviados à central diretamente para o computador do invasor, por exemplo, um posto de gasolina, ou por meio de recursos de nuvem integrados às câmeras.

Alguns modelos de câmeras veiculares são equipados com um módulo LTE, permitindo que o código malicioso envie dados diretamente ao controlador do botnet. Mas também há uma opção para modelos mais simples. Por exemplo, uma câmera veicular pode conseguir carregar dados em um smartphone, que os sincroniza com a nuvem do fornecedor, ou o dispositivo pode encaminhar dados para outras câmeras veiculares, que então os encaminham ao invasor.

Às vezes, a segurança inadequada do armazenamento em nuvem permite que os dados sejam extraídos de maneira direta, especialmente se o invasor conhecer os identificadores de usuário armazenados na câmera.

O invasor pode combinar vários métodos para analisar os dados coletados:

• Extração de metadados de GPS de fotos e vídeos
• Analisar imagens de vídeo para detectar sinais de trânsito e reconhecer texto, identificando ruas e pontos de referência específicos
• Uso de um serviço semelhante ao Shazam para identificar músicas tocando no carro
• Usar modelos da OpenAI para transcrever áudio e gerar um resumo conciso de todas as conversas dentro do veículo

O resultado é um resumo breve e informativo de cada viagem: a rota, o tempo de viagem e os assuntos discutidos. À primeira vista, o valor desses dados parece limitado porque são anônimos. Na realidade, a desanonimização não é um problema. Às vezes, o nome do proprietário ou a placa do veículo são explicitamente listados nas configurações da câmera. Além disso, ao analisar a combinação de locais frequentemente visitados (como casa e trabalho), torna-se relativamente fácil identificar o proprietário da câmera veicular.

Conclusões e estratégias de defesa

As recentes revelações sobre a parceria entre a Flock e a Nexar ressaltam como as câmeras veiculares podem de fato se tornar um elo valioso em um sistema global de vigilância e monitoramento de vídeo. A Flock opera a maior rede de câmeras automáticas de leitura de placas para a polícia nos Estados Unidos, enquanto a Nexar mantém uma rede de câmeras veiculares conectadas à nuvem, projetadas para criar uma “visão colaborativa” das estradas.

No entanto, a invasão em massa de câmeras veiculares pode levar a um esforço de coleta de dados muito mais agressivo e malicioso, com informações sendo usadas para esquemas criminosos e fraudulentos. O combate a essa ameaça é, principalmente, responsabilidade dos fornecedores, que precisam adotar práticas de desenvolvimento seguras (Security by Design), implementar criptografia robusta e aplicar outros controles técnicos. Para os motoristas, as opções de autodefesa são limitadas e dependem muito dos recursos específicos de seu modelo de câmera veicular. Listamos abaixo essas opções, da mais à menos radical:

• Adquira um modelo sem os recursos LTE, Wi-Fi e Bluetooth. Essa é a alternativa mais segura
• Desative completamente o Wi-Fi, o Bluetooth e os outros recursos de comunicação na câmera veicular
• Desative a gravação de áudio e, se possível, desconecte fisicamente o microfone
• Desative o modo estacionamento. Esse recurso mantém a câmera veicular sempre ativa para registrar incidentes enquanto o carro está estacionado. No entanto, esse recurso consome toda a bateria do carro e, muito provavelmente, mantém o Wi-Fi ativado, o que aumenta significativamente o risco de uma invasão
• Verifique as configurações de Wi-Fi disponíveis na câmera veicular:
  • Se houver desligamento automático do Wi-Fi após certo tempo, configure-o para o menor tempo possível
  • Se puder alterar a senha padrão do Wi-Fi ou o nome da rede (SSID), não deixe de fazer isso
  • Se houver uma opção para ocultar o nome da rede (geralmente chamada de SSID Oculto, Transmissão Wi-Fi Desativada ou Modo Furtivo), ative-a
• Atualize regularmente o firmware da câmera veicular e seu aplicativo de smartphone emparelhado. Isso aumenta as chances de que vulnerabilidades, como as descritas neste artigo, sejam corrigidas ao instalar uma versão mais recente.

Os carros modernos também são suscetíveis a outros tipos de ataques cibernéticos:

• Hackers na estrada: ameaças cibernéticas a carros conectados
• Carros hackeados via Bluetooth
• Como milhões de carros Kia podem ser rastreados
• Eu sei o que você fez (no volante) no verão passado
• Espiões sobre rodas: como as montadoras coletam e revendem informações

As extensões de navegador mal-intencionadas continuam sendo um ponto cego significativo para as equipes de cibersegurança de muitas organizações. Elas se tornaram um elemento permanente no arsenal dos criminosos cibernéticos, sendo usadas para roubo de sessão e conta, espionagem, mascaramento de outras atividades criminosas, fraude em anúncios e roubo de criptomoedas. Os incidentes de alto perfil envolvendo extensões mal-intencionadas são frequentes, abrangendo desde o comprometimento da extensão de segurança Cyberhaven até a publicação em massa de extensões de infostealer.

As extensões atraem os invasores porque concedem permissões e amplo acesso a informações dentro de aplicativos SaaS e sites. Como não são aplicativos independentes, geralmente passam despercebidas pelas políticas de segurança e ferramentas de controle padrão.

A equipe de segurança de uma empresa deve abordar esse problema de forma sistemática. O gerenciamento de extensões de navegador exige combinar ferramentas de política com serviços ou utilitários focados na análise de extensões. Este tópico foi o foco da palestra de Athanasios Giatsos no Security Analyst Summit 2025.

Recursos de ameaça de extensões da Web e inovações no Manifest V3

A extensão da Web de um navegador tem amplo acesso às informações da página da Web: ela pode ler e modificar qualquer dado disponível para o usuário por meio do aplicativo da Web, incluindo registros financeiros ou médicos. As extensões também acessam dados importantes sem que o usuário perceba como cookies, armazenamento local e configurações de proxy. Isso simplifica bastante o sequestro de sessão. Às vezes, as extensões vão muito além das páginas da Web: elas podem acessar a localização do usuário, downloads do navegador, captura de tela da área de trabalho, conteúdo da área de transferência e notificações do navegador.

Na arquitetura de extensões anteriormente dominante, as extensões do Manifest V2, que funcionavam no Chrome, Edge, Opera, Vivaldi, Firefox e Safari, são praticamente indistinguíveis de aplicativos completos em termos de recursos. Elas podem executar scripts em segundo plano continuamente, manter páginas da Web invisíveis abertas, carregar e executar scripts de sites externos e comunicar-se com sites arbitrários para recuperar ou enviar dados. Para conter possíveis abusos, bem como limitar os bloqueadores de anúncios, o Google fez a transição do Chromium e do Chrome para o Manifest V3. A atualização limitou ou bloqueou muitos recursos das extensões. As extensões precisam declarar todos os sites com que interagem, não podem mais executar código de terceiros carregado dinamicamente e devem usar microsserviços de curta duração em vez de scripts persistentes em segundo plano. Embora certos ataques tenham se tornado mais difíceis com a nova arquitetura, invasores ainda conseguem adaptar o código mal-intencionado para manter a maior parte das funções necessárias, mesmo sacrificando a discrição. Portanto, contar apenas com navegadores e extensões que operam sob o Manifest V3 em uma organização simplifica o monitoramento, mas não é uma solução completa.

Além disso, o V3 não resolve o problema principal das extensões: elas geralmente são baixadas de lojas de aplicativos oficiais usando domínios legítimos do Google, da Microsoft ou da Mozilla. Suas atividades parecem ser iniciadas pelo próprio navegador, tornando extremamente difícil distinguir entre as ações executadas por uma extensão e aquelas realizadas manualmente pelo usuário.

Como surgem as extensões mal-intencionadas

Com base em vários incidentes públicos, Athanasios Giatsos destaca diversos cenários em que as extensões mal-intencionadas podem surgir:

• O desenvolvedor original vende uma extensão legítima e popular. O comprador então a “aprimora” com código mal-intencionado para exibição de anúncios, espionagem ou outros fins nocivos. Exemplos incluem The Great Suspender e Page Ruler.
• Os invasores comprometem a conta do desenvolvedor e publicam uma atualização com um cavalo de Troia em uma extensão, como foi o caso da Cyberhaven.
• A extensão é projetada para ser mal-intencionada desde o início. Ela se disfarça como um utilitário relevante, como uma ferramenta falsa Salvar no Google Drive, ou imita os nomes e designs de extensões populares, como as dezenas de clones do AdBlock disponíveis.
• Uma versão mais sofisticada desse esquema envolve publicar inicialmente a extensão em um estado limpo, em que ela executa uma função genuinamente útil. As adições mal-intencionadas são introduzidas semanas ou até meses depois, quando a extensão já alcançou popularidade suficiente. A extensão ChatGPT para o Google é um exemplo.

Em todos esses cenários, ela está amplamente disponível na Chrome Web Store e, às vezes, até anunciada. No entanto, há também um cenário de ataque direcionado em que páginas ou mensagens de phishing solicitam que as vítimas instalem uma extensão mal-intencionada que não está disponível para o público em geral.

A distribuição centralizada pela Chrome Web Store, somada às atualizações automáticas do navegador e das extensões, frequentemente leva os usuários a instalar sem perceber e sem esforço uma extensão mal-intencionada. Se uma extensão já instalada em um computador receber uma atualização mal-intencionada, ela será instalada automaticamente.

Defesas organizacionais contra extensões mal-intencionadas

Em sua palestra, Athanasios fez uma série de recomendações gerais:

• Adotar uma política da empresa para o uso de extensões de navegador.
• Proibir qualquer extensão que não esteja explicitamente incluída em uma lista aprovada pelos departamentos de cibersegurança e TI.
• Fazer auditoria contínua de todas as extensões instaladas e suas versões.
• Quando as extensões forem atualizadas, acompanhe as permissões concedidas e verifique mudanças na propriedade ou na equipe de desenvolvedores.
• Incluir orientações claras sobre riscos e regras para o uso de extensões nos treinamentos de conscientização de segurança para todos os funcionários.

Acrescentamos algumas informações práticas e considerações específicas para essas recomendações.

Lista restrita de extensões e navegadores. Além de aplicar políticas de segurança ao navegador oficialmente aprovado da empresa, é crucial proibir a instalação de versões portáteis e de navegadores de IA populares, como o Comet,ou outras soluções não autorizadas que permitem a instalação das mesmas extensões perigosas. Ao implementar essa etapa, restrinja os privilégios de administrador local à equipe de TI e às demais pessoas cujas funções realmente exijam esse nível de acesso.

Como parte da política do navegador principal da empresa, você deve desativar o modo de desenvolvedor e proibir a instalação de extensões a partir de arquivos locais. Para o Chrome, gerencie isso por meio do Admin Console. Essas configurações também estão disponíveis por meio de Políticas de Grupo do Windows, perfis de configuração do macOS ou por meio de um arquivo de política JSON no Linux.

Atualizações gerenciadas. Implemente a fixação de versão para impedir que as atualizações de extensões permitidas sejam imediatamente instaladas em toda a empresa. As equipes de TI e de cibersegurança precisam testar regularmente as novas versões das extensões aprovadas e fixar as versões atualizadas somente depois de terem sido verificadas.

Proteção multicamadas. É obrigatória a instalação de um agente EDR em todos os dispositivos corporativos para impedir que os usuários iniciem navegadores não autorizados, mitigar os riscos de visita em sites de phishing mal-intencionados e bloquear downloads de malware. Também é necessário rastrear solicitações de DNS e tráfego de rede do navegador no nível do firewall para detecção em tempo real de comunicações com hosts suspeitos e outras anomalias.

Monitoramento contínuo. Use soluções de EDR e SIEM para coletar informações do estado do navegador das estações de trabalho dos funcionários. Isso inclui a lista de extensões em cada navegador instalado, juntamente com os arquivos de manifesto para análise de versão e permissão. Isso permite a detecção rápida de novas extensões que estão sendo instaladas ou da versão que está sendo atualizada e as alterações de permissão concedidas.

Como verificar as extensões do navegador

Para implementar os controles discutidos acima, a empresa precisa de um banco de dados interno de extensões aprovadas e proibidas. Infelizmente, as lojas de aplicativos e os próprios navegadores não oferecem mecanismos para avaliar o risco em uma escala organizacional ou para preencher automaticamente essa lista. Portanto, a equipe de cibersegurança precisa criar esse processo e a lista. Os funcionários também precisarão de um procedimento formal para enviar solicitações para adicionar extensões à lista aprovada.

A avaliação das necessidades da empresa e das alternativas disponíveis é melhor conduzida com um representante da respectiva unidade de negócios. No entanto, a avaliação de risco continua sendo de inteira responsabilidade da equipe de segurança. Não é necessário baixar extensões manualmente e ver suas referências em diferentes repositórios de extensões. Essa tarefa pode ser realizada por várias ferramentas, como utilitários de código aberto, serviços on-line gratuitos e plataformas comerciais.

Serviços como Spin.AI e Koidex (anteriormente ExtensionTotal) podem ser usados para avaliar o risco geral. Ambos mantêm um banco de dados de extensões populares, de modo que a avaliação geralmente seja instantânea. Eles usam LLMs para gerar um breve resumo das propriedades da extensão, mas também fornecem uma análise detalhada, incluindo as permissões necessárias, o perfil do desenvolvedor e o histórico de versões, classificações e downloads.

Para analisar os dados principais das extensões, você também pode usar o Chrome-Stats. Embora tenha sido projetado principalmente para desenvolvedores de extensões, esse serviço exibe classificações, avaliações e outros dados da loja. Ele permite que usuários baixem a versão atual e versões anteriores de uma extensão, facilitando a investigação de incidentes.

Você pode utilizar ferramentas, como o CRX Viewer, para uma análise mais detalhada das extensões suspeitas ou críticas para a operação. Essa ferramenta permite que os analistas examinem os componentes internos da extensão, filtrando e exibindo o conteúdo de forma prática, com ênfase no código HTML e JavaScript.

Atualmente, quem tenta atacar a infraestrutura de uma organização raramente se depara com o luxo de uma estação de trabalho sem um Agente de EDR, portanto, os agentes maliciosos estão se concentrando em sabotar os servidores, ou os diversos dispositivos especializados conectados à rede e que possuem privilégios de acesso bastante amplos, mas não possuem proteção EDR e, muitas vezes, até recursos de registro. Anteriormente, registramos em detalhes os tipos de dispositivos de escritório vulneráveis.

Em 2025, os ataques reais focaram em dispositivos de rede (como gateways de VPN, firewalls e roteadores), sistemas de vigilância por vídeo e os próprios servidores. Mas não devemos ignorar ataques a impressoras, como o pesquisador independente Peter Geissler lembrou ao público no Security Analyst Summit 2025. Ele descreveu uma vulnerabilidade que identificou em impressoras da Canon ( CVE-2024-12649 , CVSS 9.8), que permite a execução de código malicioso nelas. E o aspecto mais curioso sobre essa vulnerabilidade é que basta enviar um arquivo aparentemente inocente para impressão para explorá-la.

Cavalo de Tróia via fonte: um ataque via CVE-2024-12649

O ataque começa ao enviar um arquivo XPS para impressão. Esse formato, criado pela Microsoft, contém todos os pré-requisitos para imprimir um documento com sucesso e é uma alternativa ao PDF. Basicamente, o XPS é um arquivo comprimido ZIP com a descrição detalhada do documento, todas as suas imagens e as fontes utilizadas. As fontes costumam ser armazenadas em TTF (TrueType Font), um formato bastante conhecido e inventado pela Apple. E é exatamente a fonte, que não costuma ser vista como perigosa, que contém o código malicioso.

O formato TTF foi projetado para que as letras pareçam idênticas em qualquer meio e mantenham as proporções independentemente do tamanho, desde o menor caractere em uma tela até o maior em um pôster impresso. Para atingir esse objetivo, cada letra pode ter instruções de fonte escritas para si, que descrevam as nuances da exibição de letras de tamanhos pequenos. Essas instruções são comandos para uma máquina virtual compacta que, mesmo sendo bastante simples, é compatível com todos os elementos básicos da programação: gerenciamento de memória, saltos e ramificação. Geissler e seus colegas estudaram como essa máquina virtual é implementada em impressoras Canon. Eles descobriram que algumas instruções de TTF são executadas de maneira não segura. Por exemplo, os comandos da máquina virtual que gerenciam a stack não verificam se há esgotamento da memória.

Como resultado, eles conseguiram criar uma fonte maliciosa. Quando um documento que contém a fonte é impresso em determinadas impressoras Canon, ele causa esgotamento do buffer da stack, grava os dados fora dos buffers da máquina virtual e, por fim, executa código no processador da impressora. O ataque inteiro é conduzido através do arquivo TTF e o restante do conteúdo do arquivo XPS é benigno. Na verdade, detectar o código malicioso mesmo dentro do arquivo TTF é bem difícil: não é muito extenso, a primeira parte contém as instruções TTF da máquina virtual, e a segunda parte é executada no sistema operacional da Canon (DryOS).

Deve-se perceber que a Canon se concentrou em proteger o firmware da impressora nos últimos anos. Por exemplo, ela usa registros de DACR e sinalizadores NX (sem execução) compatíveis com processadores ARM que limitam a capacidade de modificar o código do sistema ou de executar código em fragmentos de memória destinados exclusivamente ao armazenamento de dados. Apesar desses esforços, a arquitetura geral do DryOS não permite a implementação efetiva de mecanismos de proteção de memória, como ASLR ou stack canary, que são típicos dos sistemas operacionais maiores e modernos. Por isso que os pesquisadores ocasionalmente encontram maneiras de contornar a proteção existente. Por exemplo, nesse ataque específico, o código malicioso foi executado com êxito ao ser colocado, por meio do truque TTF, dentro de um buffer de memória direcionado a outro protocolo de impressão (IPP).

Cenário de exploração realista

A Canon afirma, no boletim que descreve a vulnerabilidade, que ela pode ser explorada remotamente se a impressora estiver acessível pela Internet. Por isso, sugerem configurar um firewall para que a impressora só possa ser usada pela rede interna do escritório. Embora seja um bom conselho e a impressora deva ser removida do acesso público, esse não é o único cenário de ataque.

Em seu relatório, Peter Geissler indicou um cenário híbrido muito mais realista. Nele, o invasor envia a um funcionário um anexo em um e-mail ou mensagem por aplicativo e, sob algum pretexto, sugere que ele seja impresso. Se a vítima enviar o documento para impressão, mesmo que dentro da rede interna da organização e sem qualquer exposição à Internet, o código malicioso será executado na impressora. Obviamente, o malware fica muito mais limitado quando ele é executado na impressora em comparação com um malware que infecta um computador. No entanto, o malware pode, por exemplo, criar um túnel ao estabelecer uma conexão com o servidor do invasor, permitindo que os invasores ataquem outros computadores na organização. Outra possibilidade para esse malware na impressora seria que todas as informações impressas na empresa sejam encaminhadas diretamente para o servidor do invasor. Para algumas organizações, como escritórios de advocacia, isso pode resultar em uma grave violação de dados.

Como se defender dessa ameaça à impressora

A vulnerabilidade CVE-2024-12649 e diversos defeitos intimamente relacionados a ela podem ser eliminados com a atualização do firmware da impressora conforme as instruções da Canon. Infelizmente, muitas organizações, mesmo as que se empenham em atualizar o software de computadores e servidores, precisam de um processo sistemático para atualizar o firmware da impressora. O processo deve ser implementado em todos os equipamentos conectados à rede de computadores.

No entanto, os pesquisadores de segurança ressaltam que há uma grande variedade de ataques voltados a equipamentos especializados. Portanto, não há garantia de que os invasores não utilizarão um exploit similar e desconhecido pelos fabricantes de impressoras ou seus clientes. Para reduzir o risco de exploração:

• Segmente a rede, limitando a capacidade da impressora de estabelecer conexões de saída e aceitar conexões de outros dispositivos e usuários não autorizados a imprimir.
• Desative todos os serviços não utilizados na impressora.
• Defina uma senha de administrador única e forte para cada impressora/dispositivo.
• Implemente um sistema de segurança abrangente dentro da organização, incluindo a instalação de EDR em todos os computadores e servidores, um firewall moderno e monitoramento de rede abrangente baseado em um Sistema SIEM.