A operação FAUX#ELEVATE utiliza currículos falsos (CVs) como isca para iniciar uma cadeia de infecção extremamente veloz. O malware utiliza scripts VBScript de 224 mil linhas para ocultar sua carga útil real, onde apenas 226 linhas contêm o código malicioso, evitando assim detecções por sandboxes automatizadas.

Exfiltração e Arsenal de Malware

• ChromElevator: Extrai credenciais e dados de navegadores baseados em Chromium.
• mozilla.vbs e walls.vbs: Roubam perfis do Firefox e arquivos sensíveis do desktop.
• Mineração de Monero: Instala o minerador mservice.exe (XMRig) usando o driver WinRing0x64.sys.
• Destino: Dados enviados via SMTP para olga.aitsaid@mail.ru.

O CNCERT emitiu um alerta sobre o uso do OpenClaw, um agente de IA autônomo. Configurações de segurança fracas e acesso privilegiado podem ser explorados por agentes maliciosos para assumir o controle total do sistema.

Injeção Indireta de Prompt (IDPI)

Também conhecida como XPIA, essa técnica permite que invasores usem funções legítimas da IA para executar comandos manipulados, resultando em vazamento de dados e paralisação de sistemas críticos.

Pesquisadores da PromptArmor descobriram que pré-visualizações de links em apps como Telegram e Discord podem ser exploradas para exfiltrar dados automaticamente.

A Apple lançou as “Melhorias de Segurança em Segundo Plano” para aplicar correções rápidas sem depender de grandes atualizações. A primeira aborda a falha CVE-2026-20643 no WebKit.

Impacto e Resolução

A vulnerabilidade de origem cruzada na API de Navegação permitia que sites maliciosos acessassem dados de outros domínios. A Apple recomenda manter a “Instalação Automática” ativada para garantir a aplicação imediata das correções.