Infostealer explora falha critica no FortiClient EMS

Infostealer ataca via FortiClient EMS

Atacantes estão explorando uma vulnerabilidade crítica no FortiClient Enterprise Management Server (EMS) para distribuir um infostealer em dispositivos corporativos. A falha, identificada como CVE-2026-35616, é um problema de controle de acesso impróprio que permite a execução remota de código por atacantes não autenticados. Pesquisadores da Arctic Wolf detectaram a campanha em andamento, com o payload malicioso disfarçado como uma atualização legítima do endpoint Fortinet.

Cadeia de ataque detalhada

O vetor de exploração segue um padrão preocupante: o atacante se conecta ao servidor EMS exposto na internet, abusa da falha de controle de acesso e injeta comandos que forçam os endpoints gerenciados a baixar e executar o malware. A árvore de processos observada pelos pesquisadores mostra o caminho fortitray.exe → cmd.exe → powershell.exe → FortiEndpoint_Patch.exe, onde o arquivo final é o infostealer disfarçado de patch legítimo.

O malware coleta credenciais salvas no navegador, certificados digitais, cookies de sessão e informações do sistema. Os dados são exfiltrados para servidores controlados pelos atacantes, dando acesso a redes corporativas inteiras a partir de um único ponto de entrada.

Cronologia do ataque:

1. Atacante identifica servidor FortiClient EMS exposto na internet
2. Explora CVE-2026-35616 (controle de acesso impróprio) sem autenticação
3. Injeta script malicioso no canal de atualização do EMS
4. Endpoints gerenciados baixam “FortiEndpoint_Patch.exe” — o infostealer
5. Malware coleta credenciais, certificados e cookies dos navegadores
6. Dados são exfiltrados para infraestrutura do atacante

CVE crítico afeta milhares de empresas

A vulnerabilidade afeta versões específicas do FortiClient EMS, utilizado por milhares de empresas para gerenciar centralmente os endpoints de suas redes. O FortiClient é um dos clientes VPN mais usados em corporações brasileiras, o que amplia significativamente a superfície de ataque no país. Segundo a watchTowr, a falha permite execução remota de código sem autenticação prévia, tornando-a um alvo valioso para grupos criminosos.

A Fortinet já liberou patches para as versões afetadas, mas a janela de exploração sem correção foi suficiente para que atacantes integrassem o exploit em campanhas ativas.

Impacto para empresas brasileiras

O FortiClient EMS tem ampla adoção no mercado corporativo brasileiro, especialmente em empresas que utilizam FortiGate como firewall perimeter. A combinação de VPN + gerenciamento centralizado de endpoints torna esses servidores alvos de alto valor. Sob a ótica da LGPD, um vazamento de credenciais obtido via infostealer pode gerar notificações obrigatórias à ANPD e aos titulares afetados.

• Atualize imediatamente o FortiClient EMS para a versão com patch do CVE-2026-35616
• Restrinja o acesso ao EMS via rede interna ou VPN; não exponha o servidor diretamente à internet
• Monitore a árvore de processos fortitray.exe iniciando subprocessos cmd.exe ou powershell.exe
• Revogue credenciais de endpoints comprometidos, priorizando contas administrativas

Fontes e referências

• Help Net Security — Infostealer via FortiClient EMS
• BleepingComputer — Hackers exploit FortiClient EMS flaw
• watchTowr — CVE-2026-35616 active exploitation