Relatório aponta falhas em Microsoft, AWS, StreamElements e revela ataques em massa a 150 mil sites redirecionando para páginas fraudulentas
A Redbelt Security divulgou um levantamento que aponta falhas exploradas por agentes maliciosos em serviços amplamente utilizados no mercado digital. Segundo a consultoria especializada, entre os principais focos de ataque estão plataformas de jogos de azar, sistemas da Microsoft, imagens públicas da AWS e serviços terceirizados utilizados pela StreamElements.
Um dos destaques do relatório é uma campanha que comprometeu aproximadamente 150 mil sites legítimos. Criminosos inseriram códigos com o objetivo de redirecionar internautas para páginas com conteúdo de apostas online. A estratégia inclui a sobreposição de elementos visuais falsos, o que dificulta a identificação da fraude por parte do usuário. A técnica mais recorrente é a injeção de iframe, que simula a aparência do site original enquanto oculta a origem real do conteúdo.
A análise utilizou dados da plataforma PublicWWW, que indicam que cerca de 135 mil páginas ainda carregam scripts maliciosos. Essas injeções têm sido otimizadas para burlar mecanismos de detecção e manipular a experiência do visitante, com o objetivo de conduzi-lo a ambientes controlados por cibercriminosos. Os especialistas recomendam que desenvolvedores reforcem a validação de conteúdo dinâmico e monitorem alterações em tempo real para reduzir vulnerabilidades.
Além da campanha em sites de apostas, foram relatadas diversas falhas envolvendo grandes empresas do setor de tecnologia. A Microsoft identificou, em dezembro de 2024, a exposição de mais de 3.000 chaves de máquina ASP.NET. As chaves, disponibilizadas publicamente por engano por desenvolvedores, permitiram que atacantes realizassem injeções de código conhecidas como “ViewState”, com potencial para distribuir estruturas de pós-exploração como o Godzilla.
A própria Microsoft afirmou que removeu instâncias documentadas com esses artefatos e alertou sobre a necessidade de alternância frequente das chaves utilizadas. A recomendação inclui evitar qualquer reutilização de dados obtidos em fontes abertas ou não verificadas, como fóruns de desenvolvedores ou repositórios não auditados.
Outra vulnerabilidade identificada estava no conector do Microsoft SharePoint, integrado ao Power Platform. Pesquisadores da Zenity Labs detectaram um caso de falsificação de requisição no servidor (SSRF), que poderia ser usado para capturar credenciais de usuários. Para executar o ataque, seria necessário que o invasor tivesse acesso prévio à organização e permissões específicas. A falha foi corrigida em dezembro de 2024.
No ambiente de streaming, a plataforma StreamElements confirmou a exposição de informações pessoais de mais de 100 mil usuários, após a infecção de um fornecedor terceirizado com o malware Redline Infostealer. Os dados comprometidos incluem nomes, e-mails, endereços e telefones. A violação afetou registros de pedidos feitos entre 2020 e 2024, e ocorreu sem comprometer os servidores principais da companhia. A empresa informou que os clientes afetados foram notificados e que medidas de mitigação estão em andamento.
Outro vetor de risco descrito no relatório envolve imagens públicas de máquinas virtuais da Amazon. A falha, apelidada de “whoAMI”, explorava a falta de verificação no momento da seleção de AMIs no catálogo da AWS. Ao não especificar o campo de origem, parâmetro “owners”, desenvolvedores acabavam adotando versões alteradas, inseridas por terceiros. A falha permitia execução remota de código, embora não tenha sido detectada exploração ativa até o momento. A AWS corrigiu o problema em setembro do ano passado, três dias após ser notificada.
O relatório da Redbelt reforça a importância da prevenção contínua e da análise proativa de infraestrutura. A consultoria aponta que práticas de segurança básicas continuam sendo negligenciadas, contribuindo para brechas que poderiam ser evitadas com verificações automatizadas, treinamento de equipes e revisão frequente de permissões e configurações.
Por: Tiago Souza
