O Diário

de Analistas de Plantão

Categoria: Microsoft

  • ClickFix com DNS Staging distribui malware via PowerShell

    A nova campanha de ataque, que possui como alvo o sistema Windows da Microsoft, caracteriza uma evolução do método de engenharia social ClickFix, na qual consultas DNS realizadas por meio do utilitário nativo nslookup são utilizadas como mecanismo de staging e entrega de código malicioso. Nesse modelo, respostas DNS são manipuladas para transportar dados codificados…

    Adriano Cansian

  • O XDR pode errar, o analista não!

    Nos últimos dias, fui bombardeado com alertas que indicavam a detecção de um potencial software malicioso em diversos ambientes distintos, pelos quais sou responsável. Até então, mais um dia normal na vida de um analista de SOC. Porém, desta vez, algo estava diferente: coincidentemente, todos os alertas estavam correlacionados e apresentavam os mesmos indicadores e…

    Hector Carlos Frigo

  • EDRs falham em identificar e bloquear vulnerabilidade React2Shell

    1. Introdução Como já discutido em uma postagem anterior aqui no “O Diário” O React é uma biblioteca gratuita e open-source para JavaScript, amplamente utilizada na construção de interfaces web modernas. Embora originalmente projetado para execução no lado do cliente, suas versões mais recentes passaram a integrar mecanismos de renderização no servidor por meio dos…

    Artur Spadoni

  • A Botnet Aisuru e o Ataque Recorde à Microsoft: O Papel Estratégico do DNS

    Kim Morgan (kim@acmesecurity.org) & Adriano Cansian (adriano.cansian@unesp.br) Em 17 de novembro de 2025, a Microsoft anunciou ter mitigado o maior ataque de negação de serviço distribuído (DDoS) já registrado em sua nuvem [1]. O ataque, que atingiu um pico de 15,72 terabits por segundo (Tbps), foi direcionado a um único endpoint da plataforma Azure na…

    Kim Morgan

  • HybridPetya: A Ameaça Silenciosa que Neutraliza o Secure Boot

    Resumo Executivo Este alerta de segurança aborda a descoberta do HybridPetya, uma nova variante de ransomware que representa uma evolução significativa nas ameaças de firmware. Identificado em fevereiro de 2025, ele combina características dos notórios malwares Petya e NotPetya, que causaram estragos entre 2016 e 2017. A principal inovação do HybridPetya é sua capacidade de…

    Adriano Cansian

  • O PwdLastSet pode confundir?

    Trabalhando em uma resposta a um incidente onde o Domain Admin foi comprometido, comecei a fazer um levantamento do campo PwdLastSet no Active Directory Domain Services com o objetivo de identificar, logicamente, os usuários que realizaram trocas de senhas antes e/ou durante o incidente. Sendo assim, me surgiu uma dúvida: O atributo PwdLastSet pode ser…

    João Fuzinelli

  • Detectando Técnicas de Persistência em Endpoints Windows

    Comprometer um sistema não se trata apenas da quebra de uma credencial ou o upload de um malware em um endpoint, agentes de ameaça pensam muito além do acesso inicial, ele ou ela farão de tudo, a fim de alcançar seu objetivo final, podendo ser um vazamento de dados, roubo de propriedades intelectuais, ou em…

    Hector Carlos Frigo

Outros posts:

  • Regularização falsa: golpe de phishing usa CNH como isca

    Na tarde de hoje, meu pai me encaminhou um e-mail sobre a suposta regularização de uma infração em sua CNH. O remetente se identificava como “Regularize CNH”, mas o endereço era claramente incomum para algo que alegava ser do gov.br: store+79974727929@g.shopifyemail.com: Ao inspecionar melhor o conteúdo, o botão verde que prometia “resolver o problema” levava…

    Mario Lúcio Collinetti Junior

  • Phishing: Polícia Civil do Amapá

    Recentemente recebemos um report de um cliente onde havia recebido um e-mail originado da Polícia Civil do Amapá. O remetente referência uma pessoa chamda Nashya Ribeiro com o e-mail: nashyaribeiro@policiacivil[.]ap[.]gov[.]br. O e-mail gera urgência determinando um prazo de 1 dia informando que os detalhes da solicitação se encontram no PDF Passando por uma pesquisa rápida…

    João Fuzinelli

  • Conhecendo o MITRE | ATT&CK.

    Embora ter ferramentas de proteção são importantes, entender a mentalidade do atacante, como conhecer quais as táticas e métodos utilizados por ele durante um ataque, também é fundamental para os profissionais de cibersegurança. Por que utilizar o MITRE ATT&CK? O que é? Criado pela MITRE, o ATT&CK é um framework, uma base de conhecimento global…

    João Paulo Gonsales