### Explorando CVE-2026-35616 De acordo com a **Arctic Wolf**, a campanha, detectada em maio de 2026, abusa do **FortiClient** EMS explorando a **CVE-2026-35616** (pontuação CVSS: 9.1). Este bypass crítico de acesso à API pré-autenticação permite a escalada de privilégios. A **Fortinet** corrigiu a vulnerabilidade no **FortiClient** EMS 7.4.7 e versões posteriores. Organizações que utilizam versões mais antigas são instadas a atualizar imediatamente. ### Análise da Cadeia de Ataque A exploração bem-sucedida permite que os atacantes modifiquem configurações, adiem lembretes de atualização de firmware e alterem as configurações do Perfil de Acesso Remoto. Isso possibilita a injeção de scripts maliciosos projetados para execução em dispositivos de endpoint. Os atacantes efetivamente utilizam o próprio caminho de gerenciamento do **FortiClient** para enviar comandos maliciosos do **PowerShell**, imitando operações administrativas legítimas.  ### Malware Disfarçado: FortiEndpoint_Patch.exe O ataque utiliza "fortitray.exe", um executável legítimo do **FortiClient**, para iniciar um script .cmd através do "cmd.exe". Este script, por sua vez, executa um script **PowerShell** codificado em Base64 responsável por baixar e executar o payload malicioso, além de exfiltrar dados roubados para "83.138.53[.]110" via requisições HTTP POST. O payload, nomeado "FortiEndpoint_Patch.exe", é um roubador de informações do Windows anteriormente indocumentado. Ele coleta dados sensíveis de navegadores baseados em Chromium e Gecko, incluindo senhas, cookies, dados de preenchimento automático (informações de cartão de crédito, endereços e números de telefone), e os salva em um arquivo de log no diretório ProgramData. O script **PowerShell** então transmite esses dados para a infraestrutura controlada pelos atacantes. ### Implicações e Mitigação A **Arctic Wolf** enfatiza que, ao contornar a autenticação da API, os atores de ameaças podem modificar configurações de gerenciamento e executar scripts maliciosos em endpoints gerenciados. Cookies de sessão roubados e credenciais de navegador salvas podem conceder aos atacantes acesso a serviços em nuvem, aplicações internas e outros recursos autenticados, potencialmente contornando a autenticação multifator (MFA). Organizações são aconselhadas a: * Atualizar imediatamente o **FortiClient** EMS para a versão 7.4.7 ou posterior. * Monitorar os logs do **FortiClient** EMS em busca de atividades suspeitas. * Implementar controles de acesso robustos e revisar configurações regularmente. * Educar os usuários sobre os riscos de executar atualizações de software inesperadas ou não solicitadas.