Hackers estão explorando uma vulnerabilidade de bypass de autenticação, identificada como
CVE-2026-35616
, no FortiClient Enterprise Management Server (EMS) para distribuir um roubador de credenciais não documentado chamado EKZ.
A atividade, observada pela empresa de cibersegurança Arctic Wolf no início deste mês, envolve uma falha crítica de controle de acesso inadequado que permite a atacantes remotos sem autenticação executar código ou comandos arbitrários por meio de requisições especialmente elaboradas. A Fortinet confirmou, no início de abril, que a falha estava sendo explorada e liberou hotfixes emergenciais para as versões 7.4.5 e 7.4.6 do produto, além de corrigir o problema no FortiClient EMS 7.4.7 e em versões posteriores.
A CISA reagiu rapidamente à atividade maliciosa e determinou que agências federais protegessem suas instâncias até o fim daquela semana. Na mesma ocasião, o grupo de monitoramento de segurança da internet The Shadowserver Foundation informou que estava observando 2.000 instâncias de EMS expostas na internet.
Os pesquisadores observam que a intrusão começa com o abuso das APIs de endpoint para realizar ações administrativas sem autenticação. Em seguida, o invasor altera a configuração do EMS e as políticas de VPN para introduzir a execução de scripts maliciosos. O payload é disfarçado como uma atualização para endpoints da Fortinet e executado por meio de fluxos de trabalho de scripts de VPN gerenciados pelo FortiClient.
Segundos depois de os endpoints estabelecerem um túnel IPsec com um firewall FortiGate, o legítimo fortitray.exe iniciou scripts em lote maliciosos por meio do Prompt de Comando. Esses scripts executaram um payload do PowerShell codificado em Base64, que baixou e executou o malware disfarçado de patch da Fortinet e, depois, exfiltrou dados para uma VPS controlada pelo atacante via HTTP.
“Em vez de depender de uma isca genérica de malware, o payload foi apresentado como uma atualização para endpoint da Fortinet e executado por meio de fluxos de trabalho de scripts de VPN gerenciados pelo FortiClient”, diz o relatório da Arctic Wolf.
“Nos endpoints afetados, componentes do FortiClient iniciaram scripts de comando que chamaram o PowerShell, baixaram um roubador de credenciais, o executaram em silêncio e exfiltraram dados de navegador coletados antes de remover os artefatos locais.”
O payload baixado, rastreado como EKZ Infostealer, traz funcionalidades comuns de roubo de informações. Ele mira navegadores baseados em Chromium e também o Firefox, extraindo dados armazenados para arquivos de texto e contornando proteções de senhas criptografadas.
O malware busca credenciais, cookies e dados de autofill, incluindo informações de cartão de crédito, endereços e números de telefone, que podem dar acesso a contas protegidas por MFA sem que o login seja percebido. Os dados são gravados em log e salvos no diretório ProgramData, enquanto a exfiltração em rede é realizada pelo script do PowerShell, que transmite as informações capturadas para a infraestrutura controlada pelos atacantes.
Segundo a Arctic Wolf, ao contornar a autenticação da API e interagir com a funcionalidade do EMS em um contexto privilegiado, os threat actors conseguiram modificar a configuração de gerenciamento e enviar scripts maliciosos para execução em endpoints gerenciados. Uma vez que obtiveram essa capacidade, todo endpoint administrado passou a ser um alvo potencial de execução, sem a necessidade de um caminho de intrusão separado para cada dispositivo.
Além disso, o ataque foi identificado como dependente de fortitray.exe, um executável legítimo associado ao FortiClient, para iniciar um arquivo .cmd por meio do cmd.exe. O script .cmd foi criado para acionar um script do PowerShell codificado em Base64 que, por sua vez, baixava o payload malicioso, executava-o e exfiltrava os resultados para “83.138.53[.]110” via uma requisição HTTP POST.
Segundo a Arctic Wolf, um dos indícios de tentativa de exploração em ataques que distribuem o EKZ Infostealer é a presença, nos logs, da linha “Certificate not found in request header.” Em testes de laboratório, o erro foi seguido em segundos por outra entrada: “Certificate user: fortinet-ca2 … successfully updated”.
Diante disso, os pesquisadores recomendam que as equipes de defesa monitorem anomalias na autenticação por certificado e mudanças inesperadas nas configurações de Remote Access Profile. Qualquer atividade administrativa suspeita, como criação de novas contas, logins de origem desconhecida, como Tor ou IPs de VPS, ou ações que levem a alterações de configuração, deve ser tratada como sinal de alerta.
O relatório da Arctic Wolf traz orientações extensas de detecção que podem ajudar organizações a prevenir os ataques observados.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...