Pesquisa primária de ameaças do Comando de Ameaças do Elastic Security Labs
16 de julho de 2026
TELEPUZ: um malware MaaS modular que se espalha por meio de cadeias CLICKFIX-VIDAR.
TELEPUZ é um malware modular que surgiu através de ataques CLICKFIX-VIDAR em abril. Fizemos engenharia reversa para mostrar a você a infraestrutura e as técnicas de evasão que importam.
Em destaque




Engenharia de Detecção
Ver tudo
Por dentro do SOC agente da Elastic InfoSec: reduzindo o tempo de triagem de alertas de 30 para menos de 3 minutos.
A equipe de segurança da informação da Elastic criou agentes de IA no Elastic Workflows que investigam cada alerta e reúnem o caso antes mesmo que um analista o abra.

Logs de atividades do Azure AD Graph: ingestão e detecção de ameaças para reduzir a lacuna de visibilidade.
Os registros de atividades do Azure AD Graph chegam ao Elasticsearch com análise completa do ECS. Detecte enumerações ROADrecon e AADInternals com regras de detecção prontas para uso.

Detecção de ataques Tycoon 2FA AiTM no Entra ID e no Google Workspace
O Tycoon 2FA ignora a autenticação multifator (MFA) no Entra ID e no Google Workspace. Mapeamos as impressões digitais de telemetria em ambas as plataformas, implementamos regras de detecção para ambos os níveis e controlamos incidentes em menos de 10 segundos com o Elastic Workflows.

Falha na cópia e DirtyFrag: bugs de cache de páginas do Linux em uso.
Esta pesquisa analisa as vulnerabilidades de escalonamento de privilégios do kernel Linux, Copy Fail e DirtyFrag, que exploram falhas sutis de corrupção do cache de páginas para criar caminhos confiáveis para acesso root. Além disso, a Elastic Security Labs está lançando uma lógica de detecção para essas vulnerabilidades.
Análise de malware
Ver tudo
TELEPUZ: um malware MaaS modular que se espalha por meio de cadeias CLICKFIX-VIDAR.
TELEPUZ é um malware modular que surgiu através de ataques CLICKFIX-VIDAR em abril. Fizemos engenharia reversa para mostrar a você a infraestrutura e as técnicas de evasão que importam.

ClickFix para Sacar Dinheiro: Anatomia de um Kit de Ferramentas para Fraudes Bancárias no México
A Elastic Security Labs monitora a REF6045, uma operação ativa de fraude bancária com auxílio de operadores, que tem como alvo clientes de bancos mexicanos, fintechs, processadores de pagamento e corretoras de criptomoedas.

Perdido na realocação: análise de uma nova carregadeira que distribui CASTLESTEALER
Descubra como um novo carregador ofuscado evita a detecção estática usando .reloc Abuso de seção, cinco verificações anti-VM/idioma e ofuscação MBA para distribuir malware de roubo de informações por meio do Google Ads.

PHANTOMPULSE: anatomia de um blockchain C2 RAT vulnerável a sequestro
A Elastic Security Labs apresenta uma análise detalhada de engenharia reversa do PHANTOMPULSE, o RAT de longa duração distribuído às vítimas do setor de criptomoedas por meio do conjunto de intrusão REF6598.
Internos
Ver tudo
Viciado em Linux: Engenharia de Detecção de Rootkits
Nesta segunda parte de uma série de dois artigos, exploramos a engenharia de detecção de rootkits no Linux, com foco nas limitações da dependência de detecção estática e na importância da detecção comportamental de rootkits.

Patch diff para SISTEMA
Utilizando LLMs e comparação de patches, esta pesquisa detalha uma vulnerabilidade de uso após liberação (Use-After-Free) no DWM do Windows, demonstrando um exploit confiável que permite a escalada de privilégios de usuário de baixo nível para SYSTEM.

A Ilusão Imutável: Dominando o Kernel com Arquivos na Nuvem
Os agentes maliciosos podem explorar uma classe de vulnerabilidades para contornar restrições de segurança e quebrar cadeias de confiança.

FlipSwitch: uma nova técnica de conexão de chamadas de sistema
O FlipSwitch oferece uma nova visão sobre como contornar as defesas do kernel do Linux, revelando uma nova técnica na batalha contínua entre invasores e defensores cibernéticos.
Inteligência de ameaças
Ver tudo
ClickFix para Sacar Dinheiro: Anatomia de um Kit de Ferramentas para Fraudes Bancárias no México
A Elastic Security Labs monitora a REF6045, uma operação ativa de fraude bancária com auxílio de operadores, que tem como alvo clientes de bancos mexicanos, fintechs, processadores de pagamento e corretoras de criptomoedas.

Detecção de ataques Tycoon 2FA AiTM no Entra ID e no Google Workspace
O Tycoon 2FA ignora a autenticação multifator (MFA) no Entra ID e no Google Workspace. Mapeamos as impressões digitais de telemetria em ambas as plataformas, implementamos regras de detecção para ambos os níveis e controlamos incidentes em menos de 10 segundos com o Elastic Workflows.

PHANTOMPULSE: anatomia de um blockchain C2 RAT vulnerável a sequestro
A Elastic Security Labs apresenta uma análise detalhada de engenharia reversa do PHANTOMPULSE, o RAT de longa duração distribuído às vítimas do setor de criptomoedas por meio do conjunto de intrusão REF6598.

TCLBANKER: Trojan bancário brasileiro se espalha via WhatsApp e Outlook
O REF3076 utiliza um instalador da Logitech infectado por um trojan para implantar o TCLBANKER, um trojan bancário brasileiro com payloads que dependem do ambiente, sobreposições de fraude em WPF e módulos de worm autopropagáveis para WhatsApp e Outlook.
Machine Learning
Ver tudo
Detecte a atividade do algoritmo de geração de domínio (DGA) com a nova integração do Kibana
Adicionamos um pacote de detecção de DGA ao aplicativo Integrações no Kibana. Com um único clique, você pode instalar e começar a usar o modelo DGA e os ativos associados, incluindo configurações de pipeline de ingestão, trabalhos de detecção de anomalias e regras de detecção.

Automatizando a resposta rápida das proteções de segurança ao malware
Veja como temos aprimorado os processos que nos permitem fazer atualizações rapidamente em resposta a novas informações e propagar essas proteções aos nossos usuários, com a ajuda de modelos de aprendizado de máquina.

Detecção de ataques de exploração de recursos naturais com a nova integração elástica.
Adicionamos um pacote de detecção de Vida da Terra (LotL) ao aplicativo Integrações no Kibana. Com um único clique, você pode instalar e começar a usar o modelo ProblemChild e os ativos associados, incluindo configurações de detecção de anomalias e regras de detecção.
Identificando malware de beacon usando Elastic
Neste blog, orientamos os usuários na identificação de malware de beaconing em seu ambiente usando nossa estrutura de identificação de beaconing.
IA generativa
Ver tudo
Por dentro do SOC agente da Elastic InfoSec: reduzindo o tempo de triagem de alertas de 30 para menos de 3 minutos.
A equipe de segurança da informação da Elastic criou agentes de IA no Elastic Workflows que investigam cada alerta e reúnem o caso antes mesmo que um analista o abra.

Do relatório de vulnerabilidade à minuta do CVE em minutos: como a Elastic automatizou os avisos de segurança com IA.
Como a equipe de segurança da Elastic construiu um agente de IA com RAG usando os catálogos CWE e CAPEC da MITRE para elaborar avisos de CVE a partir de relatórios de vulnerabilidades brutos, incluindo as configurações completas de prompts e crawlers.

Aplicativo Elastic Security MCP: Operações de segurança interativas dentro de suas ferramentas de IA.
A Elastic Security é a primeira fornecedora de segurança a disponibilizar uma interface de usuário interativa em suas ferramentas de IA. Priorize alertas, identifique ameaças, correlacione cadeias de ataques e abra ocorrências, tudo isso diretamente da sua conversa com IA.

Monitoramento em escala do Claude Code/Cowork com OTel no Elasticsearch.
Como a equipe de segurança da informação da Elastic construiu um pipeline de monitoramento para o Claude Code e o Claude Cowork usando seus recursos nativos de exportação OTel e a infraestrutura de ingestão OTel da Elastic.
Ferramentas
Ver tudo
Abuso do pipeline CI/CD: o problema que ninguém está observando
Como criamos um modelo de CI de código aberto e fácil de usar que utiliza extração de sinais e raciocínio LLM para detectar abusos de CI/CD em pipelines do GitHub Actions, GitLab CI e Azure DevOps.

WinVisor - Um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64
O WinVisor é um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64 que usa a API da Plataforma de Hipervisor do Windows para oferecer um ambiente virtualizado que registra chamadas de sistema e permite a introspecção de memória.

Situações STIXy: ECSaping seus dados de ameaças
Os dados estruturados de ameaças geralmente são formatados usando STIX. Para ajudar a colocar esses dados no Elasticsearch, estamos lançando um script Python que converte o STIX em um formato ECS para ser ingerido na sua pilha.

Dançando a noite toda com gaitas de fole nomeadas - comunicado ao cliente da PIPEDANCE
Nesta publicação, mostraremos a funcionalidade deste aplicativo cliente e como começar a usar a ferramenta.
