Integração e Gestão de Sistemas de Informação

Etiqueta: GDPR

  • Meta Vai Remover Encriptação Ponta-a-Ponta no Instagram: Privacidade vs. Regulamentação Europeia

    Meta Vai Remover Encriptação Ponta-a-Ponta no Instagram: Privacidade vs. Regulamentação Europeia

    Artigo de sensibilização sobre privacidade digital — baseado na notícia original publicada por Ravie Lakshmanan em 13 de março de 2026 no The Hacker News.

    O que está a acontecer?

    A Meta anunciou que vai descontinuar o suporte à encriptação ponto-a-ponto (E2EE) nas mensagens diretas do Instagram a partir de 8 de maio de 2026.

    Os utilizadores afetados receberão instruções para descarregar as suas mensagens e conteúdos multimédia antes da remoção da funcionalidade.

    A justificação oficial da Meta é simples: “Muito poucos utilizadores estavam a optar pela encriptação ponta-a-ponta nas mensagens diretas, pelo que vamos remover esta opção do Instagram nos próximos meses.”

    A empresa recomenda que os utilizadores que pretendam comunicações encriptadas migrem para o WhatsApp.

    O contexto europeu: entre a privacidade e a segurança

    Esta decisão não surge isolada.

    Insere-se num debate mais amplo que atravessa toda a Europa sobre o equilíbrio entre o direito à privacidade e as necessidades de segurança pública.

    A Comissão Europeia tem vindo a preparar um Roteiro Tecnológico sobre encriptação, que procura encontrar soluções de acesso legal para as autoridades policiais sem comprometer as proteções de cibersegurança.

    Na União Europeia, dois pilares regulamentares fundamentais estão em tensão:

    • O Regulamento Geral sobre a Proteção de Dados (RGPD): consagra o direito à privacidade e à proteção de dados pessoais, incentivando medidas técnicas robustas como a encriptação;
    • Propostas legislativas de combate ao abuso sexual de menores (CSAM) e ao terrorismo: exigem que as plataformas possam detetar e reportar conteúdos ilegais, o que se torna tecnicamente impossível quando as comunicações são encriptadas de ponta a ponta.

    A este cenário junta-se o Digital Services Act (DSA), que impõe obrigações acrescidas de moderação de conteúdos às grandes plataformas, e o Digital Markets Act (DMA), que promove a interoperabilidade — ambos com implicações indiretas na forma como a encriptação é implementada.

    O dilema da encriptação: dois lados da mesma moeda

    A favor da encriptação ponta-a-ponta

    • Proteção da privacidade: A E2EE garante que apenas o remetente e o destinatário podem ler as mensagens, protegendo contra vigilância indevida, fugas de dados e acessos não autorizados;
    • Segurança de grupos vulneráveis: Jornalistas, ativistas, dissidentes políticos e vítimas de violência doméstica dependem de comunicações seguras para a sua proteção;
    • Confiança dos utilizadores: A encriptação é um fator de confiança fundamental na relação entre utilizadores e plataformas digitais;
    • Conformidade com o RGPD: A encriptação é expressamente mencionada como uma medida técnica adequada para proteger dados pessoais.

    Argumentos para limitar a encriptação

    • Combate à criminalidade: As autoridades policiais argumentam que a E2EE cria “zonas escuras” onde não é possível investigar crimes graves, como o abuso sexual de menores;
    • Deteção de conteúdos ilegais: Em 2019, alertas internos da própria Meta indicaram que a encriptação dificultaria a deteção de material de abuso sexual infantil (CSAM) e propaganda terrorista;
    • Responsabilidade das plataformas: O DSA obriga as grandes plataformas a agir contra conteúdos ilegais — uma obrigação difícil de cumprir quando o conteúdo é invisível para a própria plataforma.

    A decisão da Meta: pragmatismo ou recuo na privacidade?

    A remoção da E2EE no Instagram levanta questões pertinentes.

    A Meta argumenta que a baixa adesão justifica a decisão, mas é legítimo questionar se esta funcionalidade alguma vez foi devidamente promovida junto dos utilizadores. A E2EE no Instagram nunca foi ativada por defeito e manteve-se como opção limitada desde os primeiros testes em 2021.

    Esta abordagem contrasta com o WhatsApp, onde a encriptação é ativada por defeito desde 2016.

    A estratégia da Meta parece ser a de consolidar a encriptação numa única plataforma (WhatsApp), simplificando a sua posição regulatória ao reduzir o número de serviços que necessitam de cumprir com requisitos técnicos complexos.

    Não podemos ignorar que esta decisão também pode ser vista como uma cedência preventiva face à pressão regulatória europeia.

    A Comissão Europeia está ativamente a explorar mecanismos de “acesso legal” à encriptação, e a Meta pode estar a posicionar-se estrategicamente antes que novas regras sejam impostas.

    Tendência mais ampla: o TikTok também recua

    A decisão da Meta não é isolada.

    O TikTok anunciou recentemente que não irá introduzir encriptação ponta-a-ponta nas suas mensagens diretas, citando preocupações com a segurança dos utilizadores.

    Está a formar-se uma tendência preocupante em que as grandes plataformas recuam na implementação de medidas de privacidade, possivelmente antecipando o quadro regulatório europeu.

    O que significa isto para os utilizadores europeus?

    Para os cidadãos europeus, esta situação tem implicações práticas e de princípio:

    1. Menos privacidade por defeito: As mensagens no Instagram deixarão de ter a opção de encriptação, ficando acessíveis à Meta e, potencialmente, a autoridades mediante pedido legal;
    2. Fragmentação da segurança: Os utilizadores terão de escolher conscientemente plataformas com E2EE (como o WhatsApp ou Signal) se pretenderem comunicações verdadeiramente privadas;
    3. Precedente regulatório: Se esta tendência se consolidar, poderá abrir caminho para que outras plataformas também removam ou limitem funcionalidades de encriptação;
    4. Ação antes de maio: Os utilizadores do Instagram que utilizam mensagens encriptadas devem descarregar os seus conteúdos antes de 8 de maio de 2026.

    Recomendações de privacidade

    • Avalie as suas comunicações: Identifique quais as conversas que requerem encriptação e migre-as para plataformas que ofereçam E2EE por defeito;
    • Não confie apenas numa plataforma: Diversifique os canais de comunicação sensíveis e não dependa de uma única empresa para garantir a sua privacidade;
    • Mantenha-se informado: Acompanhe a evolução do Roteiro Tecnológico da Comissão Europeia sobre encriptação, pois terá impacto direto nos serviços que utiliza;
    • Exerça os seus direitos: O RGPD confere-lhe o direito de saber como os seus dados são tratados — utilize-o para questionar as plataformas sobre as suas políticas de encriptação.

    Fonte original: Lakshmanan, R. (2026, 13 de março). Meta to Shut Down Instagram End-to-End Encrypted Chat Support Starting May 2026. The Hacker News. https://thehackernews.com/2026/03/meta-to-shut-down-instagram-end-to-end.html

    Este artigo tem como objetivo a sensibilização para a privacidade e cibersegurança. A informação apresentada é uma análise baseada na notícia original, elaborada para fins educativos e de consciencialização.

  • Como o Wazuh Pode Detectar e Prevenir o Ataque APT ao Notepad++

    Como o Wazuh Pode Detectar e Prevenir o Ataque APT ao Notepad++

    Visão Geral da Proteção

    O Wazuh SIEM oferece múltiplas camadas de deteção para identificar e prevenir ataques de cadeia de fornecimento como o comprometimento do Notepad++. Apresento uma implementação prática para o seu ambiente.

    1. Monitorização de Integridade de Ficheiros (FIM)

    Configuração para Detetar Instaladores Maliciosos NSIS

    xml

    <!-- /var/ossec/etc/ossec.conf -->
<syscheck>
  <directories check_all="yes" realtime="yes" report_changes="yes">
    C:\Users\*\AppData\Local\Temp
  </directories>
  
  <!-- Detetar criação do diretório característico NSIS -->
  <directories check_all="yes" realtime="yes" report_changes="yes">
    C:\Users\*\AppData\Local\Temp\ns*.tmp
  </directories>
  
  <!-- Monitorizar diretórios de dropper identificados -->
  <directories check_all="yes" realtime="yes" report_changes="yes">
    C:\Users\*\AppData\Roaming\ProShow
    C:\Users\*\AppData\Roaming\Adobe\Scripts
    C:\Users\*\AppData\Roaming\Bluetooth
  </directories>
</syscheck>

    Regra Personalizada para NSIS Suspeito

    xml

    <!-- /var/ossec/etc/rules/local_rules.xml -->
<group name="notepad_apt,">
  
  <!-- Deteção de diretório NSIS temporário -->
  <rule id="100001" level="10">
    <if_sid>550</if_sid>
    <field name="file">ns\.tmp</field>
    <description>Possível instalador NSIS malicioso detetado (Notepad++ APT)</description>
    <mitre>
      <id>T1027</id>
      <id>T1195.002</id>
    </mitre>
  </rule>

  <!-- Deteção de ficheiros em diretórios de dropper -->
  <rule id="100002" level="12">
    <if_sid>550</if_sid>
    <field name="file">ProShow\\load$|Adobe\\Scripts\\alien\.ini$|Bluetooth\\BluetoothService$</field>
    <description>Ficheiro malicioso de cadeia de infeção Notepad++ detetado</description>
    <mitre>
      <id>T1574.002</id>
    </mitre>
  </rule>

</group>

    2. Deteção de Processos Suspeitos

    Monitorização Sysmon para DLL Sideloading

    xml

    <!-- C:\Program Files (x86)\ossec-agent\sysmon-config.xml -->
<Sysmon schemaversion="4.82">
  <EventFiltering>
    
    <!-- Detetar carregamento de DLLs maliciosas -->
    <ImageLoad onmatch="include">
      <ImageLoaded condition="end with">log.dll</ImageLoaded>
      <ImageLoaded condition="end with">alien.dll</ImageLoaded>
      <ImageLoaded condition="end with">lua5.1.dll</ImageLoaded>
    </ImageLoad>
    
    <!-- Detetar processos legítimos abusados -->
    <ProcessCreate onmatch="include">
      <Image condition="end with">ProShow.exe</Image>
      <Image condition="end with">script.exe</Image>
      <Image condition="end with">BluetoothService.exe</Image>
      <ParentImage condition="contains">AppData\Roaming</ParentImage>
    </ProcessCreate>
    
  </EventFiltering>
</Sysmon>

    Regras Wazuh para Sysmon

    xml

    <!-- /var/ossec/etc/rules/local_rules.xml -->
<group name="sysmon,notepad_apt">

  <!-- Deteção de DLL sideloading -->
  <rule id="100010" level="12">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.imageLoaded">\\log\.dll$|\\alien\.dll$</field>
    <description>DLL sideloading detetado - Cadeia de infeção Notepad++ APT</description>
    <mitre>
      <id>T1574.002</id>
    </mitre>
  </rule>

  <!-- Processo legítimo em localização suspeita -->
  <rule id="100011" level="10">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.image">ProShow\.exe|BluetoothService\.exe</field>
    <field name="win.eventdata.image">AppData\\Roaming</field>
    <description>Executável legítimo em localização anómala (Notepad++ APT)</description>
    <mitre>
      <id>T1036</id>
    </mitre>
  </rule>

</group>

    3. Deteção de Comandos de Reconhecimento

    Monitorização de CommandLine via Sysmon

    xml

    <!-- Regras para comandos de reconhecimento -->
<group name="reconnaissance,notepad_apt">

  <!-- Sequência de comandos característica -->
  <rule id="100020" level="8">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.commandLine">cmd\.exe.*whoami</field>
    <description>Comando de reconhecimento: whoami</description>
    <mitre>
      <id>T1033</id>
    </mitre>
  </rule>

  <rule id="100021" level="8">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.commandLine">cmd\.exe.*tasklist</field>
    <description>Comando de reconhecimento: tasklist</description>
    <mitre>
      <id>T1057</id>
    </mitre>
  </rule>

  <rule id="100022" level="8">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.commandLine">cmd\.exe.*systeminfo</field>
    <description>Comando de reconhecimento: systeminfo</description>
    <mitre>
      <id>T1082</id>
    </mitre>
  </rule>

  <rule id="100023" level="8">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.commandLine">cmd\.exe.*netstat.*-ano</field>
    <description>Comando de reconhecimento: netstat</description>
    <mitre>
      <id>T1049</id>
    </mitre>
  </rule>

  <!-- Correlação: múltiplos comandos em sequência -->
  <rule id="100024" level="15" frequency="3" timeframe="60">
    <if_matched_sid>100020</if_matched_sid>
    <if_matched_sid>100021</if_matched_sid>
    <if_matched_sid>100022</if_matched_sid>
    <same_source_ip />
    <description>ALERTA CRÍTICO: Sequência de reconhecimento APT Notepad++ detetada</description>
    <mitre>
      <id>T1595</id>
    </mitre>
  </rule>

</group>

    4. Deteção de Rede e DNS

    Monitorização de Domínios Maliciosos

    xml

    <!-- /var/ossec/etc/lists/notepad_apt_iocs.txt -->
# Domínios C2 identificados pela Kaspersky
temp.sh
cdncheck.it.com
safe-dns.it.com
self-dns.it.com
api.skycloudcenter.com
api.wiresguard.com

# IPs maliciosos
45.76.155.202
45.32.144.255
95.179.213.0
45.77.31.210
59.110.7.32
124.222.137.114

    Regras para Deteção DNS/HTTP

    xml

    <group name="network,notepad_apt">

  <!-- Deteção de resolução DNS suspeita -->
  <rule id="100030" level="12">
    <if_group>web</if_group>
    <list field="url" lookup="match_key_value">etc/lists/notepad_apt_iocs.txt</list>
    <description>Conexão a domínio C2 conhecido (Notepad++ APT)</description>
    <mitre>
      <id>T1071.001</id>
    </mitre>
  </rule>

  <!-- Deteção de temp.sh (exfiltração) -->
  <rule id="100031" level="13">
    <if_group>web</if_group>
    <match>temp.sh</match>
    <description>CRÍTICO: Tentativa de exfiltração via temp.sh (Notepad++ APT)</description>
    <mitre>
      <id>T1567.002</id>
    </mitre>
  </rule>

  <!-- Deteção de User-Agent suspeito em requisições HTTP -->
  <rule id="100032" level="10">
    <if_group>web</if_group>
    <field name="user_agent">temp\.sh</field>
    <description>User-Agent malicioso detetado (Notepad++ APT C2)</description>
    <mitre>
      <id>T1071.001</id>
    </mitre>
  </rule>

</group>

    5. Integração com Active Response

    Resposta Automática a Ameaças

    xml

    <!-- /var/ossec/etc/ossec.conf -->
<active-response>
  
  <!-- Isolar máquina em caso de deteção crítica -->
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>100024,100031</rules_id>
  <timeout>3600</timeout>
</active-response>

<active-response>
  
  <!-- Matar processos maliciosos -->
  <command>kill-process</command>
  <location>local</location>
  <rules_id>100011</rules_id>
  <timeout>no</timeout>
</active-response>

<!-- Script personalizado para quarentena -->
<command>
  <name>quarantine-file</name>
  <executable>quarantine.sh</executable>
  <timeout_allowed>no</timeout_allowed>
</command>

<active-response>
  <command>quarantine-file</command>
  <location>local</location>
  <rules_id>100002</rules_id>
</active-response>

    Script de Quarentena

    bash

    #!/bin/bash
# /var/ossec/active-response/bin/quarantine.sh

ACTION=$1
USER=$2
IP=$3
ALERTID=$4
RULEID=$5

# Extrair caminho do ficheiro do alerta
FILENAME=$(echo "$6" | jq -r '.syscheck.path')

if [ "$ACTION" = "add" ]; then
    # Criar diretório de quarentena
    QUARANTINE_DIR="/var/ossec/quarantine/$(date +%Y%m%d)"
    mkdir -p "$QUARANTINE_DIR"
    
    # Mover ficheiro malicioso
    if [ -f "$FILENAME" ]; then
        mv "$FILENAME" "$QUARANTINE_DIR/$(basename $FILENAME)_$(date +%s)"
        
        # Registar ação
        echo "$(date): Ficheiro $FILENAME colocado em quarentena por regra $RULEID" >> /var/ossec/logs/quarantine.log
    fi
fi

    6. Dashboard Kibana para Visualização

    Query Elasticsearch para Análise

    json

    {
  "query": {
    "bool": {
      "should": [
        { "match": { "rule.groups": "notepad_apt" }},
        { "match": { "rule.mitre.id": "T1195.002" }},
        { "match": { "data.win.eventdata.image": "notepad" }}
      ]
    }
  },
  "aggs": {
    "top_agents": {
      "terms": { "field": "agent.name" }
    },
    "attack_timeline": {
      "date_histogram": {
        "field": "@timestamp",
        "interval": "1h"
      }
    }
  }
}

    7. Implementação Prática – Script de Deploy

    bash

    #!/bin/bash
# deploy_notepad_apt_protection.sh

echo "[+] A instalar proteção APT Notepad++ no Wazuh..."

# 1. Copiar regras personalizadas
cat >> /var/ossec/etc/rules/local_rules.xml << 'EOF'
<!-- Incluir todas as regras acima -->
EOF

# 2. Criar lista de IOCs
cat > /var/ossec/etc/lists/notepad_apt_iocs.txt << 'EOF'
temp.sh
cdncheck.it.com
safe-dns.it.com
self-dns.it.com
EOF

# 3. Atualizar CDB
cd /var/ossec/etc/lists/
/var/ossec/bin/ossec-makelists

# 4. Reiniciar Wazuh Manager
systemctl restart wazuh-manager

echo "[+] Proteção implementada com sucesso!"
echo "[+] Verificar logs em: /var/ossec/logs/alerts/alerts.json"

    8. Configuração de Agentes Windows

    PowerShell – Deploy em Agentes

    powershell

    # install_sysmon_notepad_protection.ps1

# Download Sysmon
Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "C:\Temp\Sysmon.zip"
Expand-Archive -Path "C:\Temp\Sysmon.zip" -DestinationPath "C:\Temp\Sysmon"

# Instalar Sysmon com configuração personalizada
C:\Temp\Sysmon\Sysmon64.exe -accepteula -i C:\sysmon-config.xml

# Configurar forwarding para Wazuh
Add-Content -Path "C:\Program Files (x86)\ossec-agent\ossec.conf" -Value @"
<localfile>
  <location>Microsoft-Windows-Sysmon/Operational</location>
  <log_format>eventchannel</log_format>
</localfile>
"@

# Reiniciar agente
Restart-Service -Name wazuh

    9. Alertas e Notificações

    Integração com Sistemas de Alerta

    xml

    <!-- /var/ossec/etc/ossec.conf -->
<integration>
  <name>slack</name>
  <hook_url>https://hooks.slack.com/services/YOUR/WEBHOOK/URL</hook_url>
  <level>12</level>
  <rule_id>100024,100031</rule_id>
  <alert_format>json</alert_format>
</integration>

<integration>
  <name>custom-email</name>
  <hook_url>https://api.hjfr.info/wazuh/alert</hook_url>
  <level>10</level>
  <group>notepad_apt</group>
  <alert_format>json</alert_format>
</integration>

    10. Testes de Validação

    Script de Teste (ATENÇÃO: Apenas em ambiente controlado!)

    powershell

    # test_notepad_apt_detection.ps1
# EXECUTAR APENAS EM AMBIENTE DE TESTE!

# Teste 1: Criar diretório NSIS
New-Item -Path "$env:LOCALAPPDATA\Temp\ns1234.tmp" -ItemType Directory

# Teste 2: Simular comandos de reconhecimento
cmd /c whoami > C:\Temp\test.txt
cmd /c tasklist >> C:\Temp\test.txt
cmd /c systeminfo >> C:\Temp\test.txt
cmd /c netstat -ano >> C:\Temp\test.txt

# Teste 3: Tentativa de resolução DNS (modo seguro)
nslookup temp.sh

Write-Host "[+] Testes concluídos. Verificar alertas no Wazuh."

    Resultados Esperados

    Alertas Gerados no Wazuh

    json

    {
  "timestamp": "2026-02-04T10:30:00.000Z",
  "rule": {
    "level": 15,
    "description": "ALERTA CRÍTICO: Sequência de reconhecimento APT Notepad++ detetada",
    "id": "100024",
    "mitre": {
      "id": ["T1595"],
      "tactic": ["Reconnaissance"],
      "technique": ["Active Scanning"]
    }
  },
  "agent": {
    "name": "WORKSTATION-001",
    "ip": "192.168.1.50"
  },
  "full_log": "cmd /c whoami&&tasklist&&systeminfo&&netstat -ano"
}

    Benefícios da Implementação

    Capacidades de Deteção

    Deteção Proativa:

    • Identificação de instaladores NSIS maliciosos em tempo real
    • Monitorização de DLL sideloading
    • Correlação de comandos de reconhecimento

    Resposta Automática:

    • Isolamento imediato de sistemas comprometidos
    • Quarentena automática de ficheiros maliciosos
    • Bloqueio de comunicações C2

    Visibilidade Completa:

    • Timeline de ataque em dashboard Kibana
    • Mapeamento MITRE ATT&CK
    • Relatórios de conformidade RGPD

    Manutenção Contínua

    Atualização de IOCs

    bash

    # update_iocs.sh - Executar semanalmente
#!/bin/bash

# Download de feeds de threat intelligence
curl -s https://securelist.com/feed/iocs/latest | \
  grep -E "notepad|temp.sh" >> /var/ossec/etc/lists/notepad_apt_iocs.txt

# Remover duplicados
sort -u /var/ossec/etc/lists/notepad_apt_iocs.txt -o /var/ossec/etc/lists/notepad_apt_iocs.txt

# Recompilar CDB
/var/ossec/bin/ossec-makelists

# Reiniciar manager
systemctl restart wazuh-manager

    Conclusão

    Esta implementação fornece proteção em profundidade contra ataques APT à cadeia de fornecimento, especificamente configurada para detetar as três cadeias de infeção do Notepad++. O Wazuh oferece:

    • Deteção em tempo real de indicadores de compromisso
    • Resposta automática a ameaças críticas
    • Conformidade com frameworks de segurança (NIST, MITRE ATT&CK)
    • Visibilidade centralizada para equipas SOC

    Recomendação HJFR: Implementar esta configuração em todos os ambientes corporativos que utilizem Notepad++ ou editores de texto similares.

    Documentação Técnica HJFR
    Versão: 1.0
    Data: 4 de fevereiro de 2026
    Suporte: security@hjfr.info

  • Ataque à Cadeia de Fornecimento do Notepad++

    Ataque à Cadeia de Fornecimento do Notepad++

    A equipa de investigação Kaspersky GReAT (Global Research and Analysis Team) revelou detalhes inéditos sobre o comprometimento da infraestrutura de atualização do Notepad++, um editor de texto amplamente utilizado por programadores. Entre julho e outubro de 2025, os atacantes implementaram três cadeias de infeção distintas, modificando constantemente seus métodos de distribuição, servidores de comando e controlo (C2) e payloads maliciosos.

    Principais Descobertas:

    Escopo do Ataque:

    • Período: Junho a dezembro de 2025
    • Alvos confirmados:
      • Organização governamental nas Filipinas
      • Instituição financeira em El Salvador
      • Fornecedor de serviços de TI no Vietname
      • Indivíduos no Vietname, El Salvador e Austrália

    Modus Operandi: Os atacantes comprometeram a infraestrutura do provedor de hospedagem do Notepad++, permitindo redirecionamento seletivo de tráfego de atualização para servidores maliciosos. Durante quatro meses, renovaram constantemente:

    • Endereços de servidores C2
    • Downloaders utilizados para entrega de implantes
    • Payloads finais (Metasploit, Cobalt Strike Beacon, backdoor Chrysalis)

    Três Cadeias de Infeção Identificadas

    Cadeia #1 (Final de julho – início de agosto 2025)

    • Utilizou instalador NSIS (~1 MB)
    • Explorou vulnerabilidade antiga do software ProShow
    • Implementou downloader Metasploit → Cobalt Strike Beacon
    • C2 inicial: 45.77.31[.]210 e cdncheck.it[.]com

    Cadeia #2 (Setembro – outubro 2025)

    • Instalador NSIS reduzido (~140 KB)
    • Empregou interpretador Lua legítimo para execução de shellcode
    • Recolha expandida de informações do sistema
    • Novos domínios C2: safe-dns.it[.]com e self-dns.it[.]com

    Cadeia #3 (Outubro 2025)

    • Técnica de DLL sideloading
    • Implementação do backdoor personalizado Chrysalis
    • Abusou de executável legítimo da Bitdefender
    • Nova infraestrutura C2: 95.179.213[.]0 e api.skycloudcenter[.]com

    Indicadores Técnicos

    • Websites de upload temporário: temp[.]sh (utilizado para exfiltração de dados)
    • User-agents personalizados: Variações de Mozilla/Chrome para evasão
    • Comandos de reconhecimento: whoami, tasklist, systeminfo, netstat -ano

    Medidas de Proteção

    A Kaspersky recomenda:

    1. Verificar logs para criação de diretórios %localappdata%\Temp\ns.tmp
    2. Monitorizar resoluções DNS para temp[.]sh
    3. Auditar execuções de instaladores NSIS não autorizados
    4. Implementar detecção de DLL sideloading
    5. Atualizar para Notepad++ versão 8.9.1+ (inclui validação XMLDSig)

    Atribuição

    Múltiplos investigadores de segurança atribuem o ataque ao grupo Lotus Blossom (também conhecido como Bilbug, Raspberry Typhoon ou Thrip), um ator de ameaças chinês ativo desde 2009.

    Referências e Recursos Originais

    Análises Técnicas Primárias:

    1. Kaspersky Securelist – Relatório técnico completo
      “The Notepad++ supply chain attack – unnoticed execution chains and new IoCs”
      Autores: Georgy Kucherin, Anton Kargin
      Publicado: 3 de fevereiro de 2026
    2. Rapid7 Research – Análise do backdoor Chrysalis
      “Notepad++ Hosting Breach Attributed to Lotus Blossom”
      Identificação inicial da cadeia de infeção #3
    3. Notepad++ Comunicado Oficial
      “Notepad++ Hijacked by State-Sponsored Hackers”
      Declaração do desenvolvedor Don Ho
      2 de fevereiro de 2026

    Análises de Segurança Complementares:

    1. Kaspersky Official Press Release
      “Kaspersky GReAT uncovers hidden attack chains”
    2. Tenable Research FAQ
      “Notepad++ Supply Chain Compromise”
    3. Help Net Security
      “Notepad++ supply chain attack: Researchers reveal details, IoCs, targets”

    IOCs e Detecção:

    • Lista completa de Indicadores de Compromisso disponível no relatório da Kaspersky Securelist
    • 6 hashes de atualizadores maliciosos
    • 14 URLs de servidores C2
    • 8 hashes de ficheiros maliciosos não relatados anteriormente

    Contexto para Organizações Portuguesas

    Este incidente sublinha a importância de:

    • Validação rigorosa de atualizações de software
    • Monitorização de infraestrutura de rede
    • Implementação de EDR (Endpoint Detection and Response)
    • Conformidade com requisitos RGPD em auditoria de segurança

    A HJFR recomenda revisão imediata de sistemas que utilizem Notepad++ e implementação de controlos de segurança adequados.