Uma vulnerabilidade zero-day na plataforma de videoconferência TrueConf está a ser explorada por piratas informáticos para comprometer redes empresariais e governamentais. De acordo com a investigação partilhada pela CheckPoint, os atacantes aproveitam esta brecha para distribuir ficheiros maliciosos sob o disfarce de atualizações legítimas do software, infetando assim os equipamentos de todos os utilizadores ligados aos servidores comprometidos.
O perigo da operação TrueChaos
Identificada como CVE-2026-3502, esta falha obteve uma pontuação de gravidade média e reside num problema de verificação de integridade durante o processo de atualização. Quando os atacantes conseguem assumir o controlo de um servidor local do TrueConf, substituem o pacote da nova versão da aplicação por um executável arbitrário. Como os clientes confiam cegamente nos dados enviados pelo servidor sem a devida validação, acabam por instalar e executar as ferramentas maliciosas nos seus sistemas.
A campanha, apelidada de TrueChaos, tem decorrido desde o início do ano e foca-se principalmente em entidades governamentais do Sudeste Asiático. Os investigadores apontam que, com base nas táticas, técnicas e procedimentos adotados, bem como na utilização de infraestruturas da Alibaba Cloud e da Tencent para comandar a operação, existe uma forte probabilidade de os ataques terem origem num grupo associado à China.
Ameaça focada em ambientes críticos
A plataforma TrueConf ganhou uma popularidade considerável, especialmente durante a pandemia de COVID-19, altura em que mais de 100 mil organizações transitaram para os seus serviços. Apesar de suportar instalações na nuvem, o sistema é frequentemente implementado em ambientes fechados e offline, tornando-se a escolha de forças militares, agências de governo, empresas de gestão de tráfego aéreo e grandes corporações ligadas ao petróleo e gás.
Durante as infeções, os invasores socorrem-se de técnicas como o carregamento lateral de DLL, escalada de privilégios para contornar o controlo de conta de utilizador do Windows e ferramentas de reconhecimento de rede. Embora a carga final não tenha sido recuperada pelos especialistas, o tráfego de rede avaliado aponta para a comunicação com a infraestrutura Havoc, uma estrutura de comando de código aberto desenhada para assumir o controlo total sobre os equipamentos afetados e distribuir novas ameaças.
As versões vulneráveis do TrueConf variam entre a 8.1.0 e a 8.5.2. O problema já foi solucionado através do lançamento da versão 8.5.3 em março de 2026, pelo que a atualização das infraestruturas é fundamental para mitigar o risco. Sinais de compromisso numa rede podem incluir a presença de ficheiros estranhos como poweriso.exe, 7z-x64.dll, iscsiexe.dll ou pacotes suspeitos ocultos sob o nome update.7z.
Nenhum comentário
Seja o primeiro!