Threats
Cibercriminosos associados à Rússia estão a explorar ativamente uma vulnerabilidade recentemente corrigida no Microsoft Office para lançar ataques direcionados contra entidades governamentais e organizações europeias, alerta a CERT da Ucrânia
03/02/2026
|
A Equipa de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) identificou uma campanha de ataques que explora a vulnerabilidade CVE-2026-21509, uma falha de segurança classificada como zero-day e corrigida pela Microsoft através de uma atualização de emergência lançada a 26 de janeiro. De acordo com a CERT-UA, poucos dias após o alerta da Microsoft começaram a circular documentos maliciosos em formato DOC, distribuídos através de emails de phishing. Alguns desses documentos faziam referência a consultas do COREPER da União Europeia relacionadas com a Ucrânia, enquanto outros se faziam passar por comunicações oficiais do Centro Hidrometeorológico da Ucrânia, tendo sido enviados para mais de 60 endereços ligados a entidades governamentais. A análise técnica revela que os documentos foram criados já depois da disponibilização do patch de segurança, o que indica uma rápida adaptação por parte dos atacantes. A CERT-UA atribui a campanha ao grupo APT28, também conhecido como Fancy Bear ou Sofacy, associado à Direção Principal de Inteligência do Estado-Maior russo (GRU). A abertura dos ficheiros maliciosos desencadeia uma cadeia de infeção baseada em WebDAV, que conduz à instalação de malware através de técnicas como COM hijacking. O processo envolve uma DLL maliciosa (EhStoreShell.dll), código shell oculto num ficheiro de imagem e a criação de uma tarefa agendada denominada “OneDriveHealth”, que garante a persistência do ataque no sistema comprometido. Segundo a CERT-UA, esta cadeia culmina na execução do framework de comando e controlo COVENANT, utilizado anteriormente em campanhas atribuídas ao mesmo grupo em 2025. O malware recorre ao serviço de armazenamento cloud Filen.io para comunicações com os servidores de comando e controlo. As investigações indicam ainda que a campanha não se limita à Ucrânia, tendo sido detetados ataques adicionais contra organizações sediadas na União Europeia. Perante este cenário, as autoridades recomendam a aplicação imediata das atualizações de segurança para as versões afetadas do Microsoft Office, incluindo Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps. Nos casos em que a aplicação imediata do patch não seja possível, a CERT aconselha a implementação das medidas de mitigação alternativas disponibilizadas pela Microsoft, bem como o reforço da monitorização de ligações suspeitas a serviços cloud usados para controlo remoto. |
Receba todas as novidades na sua caixa de correio!
NEWS
Base europeia de vulnerabilidades entra em operação
OPINION
O que muda realmente com a NIS2 para as equipas de TI?
OPINION
O que os primeiros ataques a agentes de IA nos dizem sobre 2026
ANALYSIS
Ciberataques agravam níveis de stress e esgotamento nas PME portuguesas
S.LABS
A identificação de risco como base da Cibersegurança
THREATS
CISA alerta para vulnerabilidades Linux exploradas ativamente
THREATS
OpenSSL corrige vulnerabilidade crítica que permite execução remota de código
THREATS
Extensões para Chrome e Edge usadas para roubar sessões do ChatGPT
THREATS
Falhas de segurança em controlo de acessos físicos expõem grandes organizações europeias
THREATS
Microsoft corrige falha crítica no Office explorada ativamente
