Malware

Pesquisadores identificaram 18 amostras distintas do Acreed, um infostealer avançado que está se tornando popular entre redes de cibercriminosos. A arquitetura do Acreed é notável por seu mecanismo inovador de recuperação de comando e controle (C2), que utiliza tanto a BNB Smartchain Testnet quanto a plataforma de jogos Steam como resolutores de dead drop. Ao embutir instruções criptografadas em transações de blockchain e chamadas legítimas da API do Steam, os atacantes garantem comunicações C2 resilientes que se misturam ao tráfego de rede benigno.

O malware TamperedChef foi identificado pela equipe de Resposta a Incidentes da Field Effect em 22 de setembro de 2025, disfarçado como utilitários legítimos, ImageLooker.exe e Calendaromatic.exe. Esses arquivos, assinados digitalmente pela CROWN SKY LLC, foram projetados para contornar as proteções do Windows, utilizando a exploração da vulnerabilidade CVE-2025-0411. Distribuídos por meio de manipulação de motores de busca e publicidade enganosa, os executáveis carregavam cargas úteis de JavaScript que interagiam com APIs do sistema, permitindo a coleta de dados sensíveis e execução de comandos.

O Olymp Loader, uma oferta de Malware-as-a-Service (MaaS) do coletivo de cibercriminosos OLYMPO, tem ganhado popularidade entre criminosos de baixo e médio nível desde seu lançamento em 5 de junho de 2025. O software, totalmente escrito em linguagem assembly e promovido como FUD (Fully UnDetectable), combina atualizações rápidas de recursos com módulos de roubo integrados e técnicas agressivas de evasão de defesa. Inicialmente concebido como um botnet, o projeto foi rebatizado e pivotou para um loader focado em capacidades de ‘crypter’, atendendo à demanda do mercado. O Olymp Loader oferece módulos de roubo de dados para navegadores, Telegram e carteiras de criptomoedas, além de técnicas de evasão que incluem a adição de si mesmo às exclusões do Windows Defender. Com preços que variam de $50 a $200, o serviço permite personalizações e exclusividades, tornando-o acessível a uma ampla gama de usuários. A evolução contínua do Olymp Loader e suas funcionalidades exigem que as defesas cibernéticas monitorem ativamente as discussões em fóruns subterrâneos e comportamentos em sandbox para mitigar essa crescente ameaça.

No dia 25 de setembro de 2025, a equipe de Detecção e Resposta Gerenciada da Conscia identificou uma campanha de malvertising sofisticada que visava comprometer sistemas corporativos através de um instalador falso do Microsoft Teams. A cadeia de infecção foi descoberta quando as regras de Redução da Superfície de Ataque (ASR) do Microsoft Defender bloquearam tráfego suspeito, levando a uma investigação forense detalhada. A campanha utilizou resultados de busca envenenados para redirecionar usuários a um domínio malicioso, onde o malware estava hospedado. O instalador, MSTeamsSetup.exe, parecia legítimo devido a uma assinatura digital válida, permitindo que o malware evitasse detecções baseadas em assinatura. Após a execução, o malware tentou estabelecer uma conexão de comando e controle, mas foi interceptado pelas regras do Defender. Para se proteger contra essa ameaça, as organizações devem implementar estratégias de detecção focadas em anomalias de certificados e comportamentos de rede, além de monitorar conexões de saída para domínios recém-registrados. Este incidente destaca a convergência de técnicas modernas de ataque, como envenenamento de SEO e abuso de certificados, exigindo uma resposta proativa das equipes de segurança.

Recentemente, os setores de telecomunicações e manufatura em países da Ásia Central e do Sul têm sido alvo de uma campanha de ciberataques que distribui uma nova variante do malware PlugX, também conhecido como Korplug ou SOGU. Pesquisadores da Cisco Talos identificaram que essa nova variante compartilha características com os backdoors RainyDay e Turian, incluindo o uso de aplicações legítimas para o carregamento de DLLs maliciosas. A configuração do PlugX, que normalmente segue um formato específico, foi alterada para se assemelhar à estrutura utilizada pelo RainyDay, um backdoor associado ao grupo de ameaças Lotus Panda, vinculado à China. Além disso, o PlugX é um Trojan de Acesso Remoto (RAT) amplamente utilizado por grupos de hackers alinhados à China, como o Mustang Panda. As evidências sugerem uma possível conexão entre os grupos Lotus Panda e BackdoorDiplomacy, ambos focados em telecomunicações e países da Ásia do Sul. Os ataques geralmente envolvem o abuso de executáveis legítimos para carregar DLLs maliciosas que, por sua vez, executam os payloads do PlugX. A análise também destaca o malware Bookworm, utilizado pelo Mustang Panda, que permite controle extenso sobre sistemas comprometidos e se disfarça em tráfego de rede normal. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente no contexto de conformidade com a LGPD no Brasil.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

Em 2025, o LummaStealer se destacou como um ladrão de informações, atacando setores como telecomunicações, saúde, bancos e marketing. Apesar de uma operação policial em maio que interrompeu suas atividades, novas variantes do malware surgiram. A análise do Netskope Threat Labs revelou que o LummaStealer utiliza técnicas avançadas de ofuscação e evasão, dificultando a detecção por métodos tradicionais. O instalador do malware se disfarça como um instalador NSIS e, ao ser descompactado, revela um script ofuscado que executa um payload em AutoIt. Este script implementa várias verificações para evitar ambientes de análise, como a verificação de variáveis de ambiente e processos de virtualização. Além disso, o LummaStealer utiliza técnicas de persistência, como a criação de atalhos na pasta de inicialização do Windows. A detecção do malware é aprimorada por um modelo de machine learning que analisa comportamentos em um ambiente isolado, permitindo identificar ameaças novas com alta confiança. Essa abordagem demonstra a eficácia da inteligência artificial na luta contra malware sofisticado.

Uma nova campanha de botnet, classificada como Loader-as-a-Service, tem se mostrado altamente eficaz na exploração de roteadores SOHO e dispositivos IoT, aumentando em 230% entre julho e agosto de 2025. A pesquisa da CloudSEK revelou que atacantes estão utilizando logs de comando e controle expostos para automatizar a injeção de comandos e entrega de payloads, como o Mirai. Os atacantes exploram parâmetros POST não sanitizados em interfaces de gerenciamento web, testando credenciais padrão e realizando injeções de comandos. Uma vez que o acesso é obtido, os dispositivos são mapeados para coleta de informações, como endereços MAC e versões de firmware, permitindo a instalação de binários maliciosos para recrutamento em DDoS ou mineração de criptomoedas. A campanha também se aproveita de CVEs conhecidos em pilhas empresariais, como falhas no Oracle WebLogic e vulnerabilidades em plugins do WordPress. A recomendação é implementar filtragem de saída para bloquear tráfego malicioso e reforçar a segurança das interfaces web expostas. A segmentação de redes IoT e a aplicação de patches de firmware são essenciais para mitigar os riscos associados a essa ameaça emergente.

Em setembro de 2025, a Zscaler ThreatLabz revelou uma campanha cibernética sofisticada chamada ClickFix, atribuída ao grupo APT COLDRIVER, vinculado à Rússia. A campanha visa membros da sociedade civil russa, utilizando engenharia social e malware leve para roubo de documentos e acesso persistente. O ataque começa em uma página maliciosa que se disfarça de centro de informações para ONGs e defensores dos direitos humanos. Os visitantes são induzidos a clicar em uma caixa de verificação falsa do Cloudflare, que copia um comando malicioso para a área de transferência. Ao executar o comando, o malware BAITSWITCH é carregado, permitindo que o invasor estabeleça uma conexão com o servidor de comando e controle (C2).

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

O National Cyber Security Centre (NCSC) alertou sobre uma campanha de malware persistente que ataca dispositivos da série Cisco ASA 5500-X, utilizando uma vulnerabilidade 0-day para implantar os malwares RayInitiator e LINE VIPER. Esses malwares permitem execução remota de comandos, acesso persistente e possível exfiltração de dados. A Cisco confirmou que o mesmo ator de ameaça, identificado anteriormente, está explorando novas falhas nos dispositivos ASA para obter acesso root e implantar cargas úteis personalizadas. O NCSC recomenda que as organizações afetadas apliquem atualizações de segurança, auditem logs de dispositivos e isolem sistemas com comportamentos anômalos. A falha afeta versões específicas do firmware e é explorada através de pacotes de rede especialmente elaborados que contornam controles de autenticação. O NCSC também enfatiza a importância de substituir ou atualizar unidades obsoletas, pois dispositivos sem suporte representam riscos significativos de segurança. A análise detalhada do malware, incluindo assinaturas e padrões de rede, está disponível no relatório do NCSC, que também sugere práticas recomendadas para gerenciar hardware obsoleto.

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) alertou sobre a exploração de falhas de segurança em firewalls da Cisco, resultando em ataques de dia zero que implantaram malwares como RayInitiator e LINE VIPER. Esses malwares são considerados mais sofisticados do que os utilizados em campanhas anteriores, apresentando técnicas avançadas de evasão. A Cisco iniciou investigações em maio de 2025, após ataques a agências governamentais, que visavam dispositivos da série Adaptive Security Appliance (ASA) 5500-X. Os atacantes exploraram vulnerabilidades críticas, como CVE-2025-20333, com um CVSS de 9.9, para contornar autenticações e executar códigos maliciosos. Além disso, modificações no ROMMON foram detectadas, permitindo persistência após reinicializações. A campanha está ligada ao grupo de hackers UAT4356, supostamente vinculado ao governo chinês. A Cisco também corrigiu uma falha crítica (CVE-2025-20363) que poderia permitir a execução de código arbitrário. O Centro Canadense de Cibersegurança recomendou que organizações atualizassem seus sistemas imediatamente para mitigar os riscos.

Pesquisadores em cibersegurança identificaram uma versão atualizada do malware XCSSET, que tem sido observado em ataques limitados. De acordo com um relatório da equipe de Inteligência de Ameaças da Microsoft, essa nova variante apresenta mudanças significativas no direcionamento a navegadores, sequestro de clipboard e mecanismos de persistência. O malware utiliza técnicas sofisticadas de criptografia e ofuscação, além de scripts AppleScript compilados para execução discreta. A exfiltração de dados foi ampliada para incluir informações do navegador Firefox. O XCSSET é um malware modular projetado para infectar projetos do Xcode, utilizados por desenvolvedores de software, e sua distribuição ainda não está clara, mas suspeita-se que ocorra através de arquivos de projeto compartilhados. A nova versão inclui um submódulo que monitora o conteúdo da área de transferência em busca de padrões de endereços de carteiras de criptomoedas, substituindo-os por endereços controlados por atacantes. Para mitigar essa ameaça, recomenda-se que os usuários mantenham seus sistemas atualizados e tenham cautela ao copiar dados sensíveis.

A Microsoft Threat Intelligence identificou uma nova variante do malware XCSSET, que representa riscos significativos para desenvolvedores de aplicativos macOS que utilizam o Xcode. Esta versão aprimorada introduz técnicas de ofuscação avançadas, capacidades expandidas de exfiltração de dados e mecanismos de persistência que evoluíram desde sua documentação inicial em março de 2025. O malware opera por meio de uma cadeia de infecção em quatro etapas, inserindo código malicioso em arquivos de projeto. Quando os desenvolvedores constroem projetos infectados, o XCSSET é executado silenciosamente em segundo plano, explorando a confiança que os desenvolvedores depositam em repositórios de código compartilhados. Uma característica preocupante é o módulo de monitoramento da área de transferência, que pode substituir endereços de carteiras de criptomoedas, redirecionando transações. Além disso, o malware agora também coleta dados do navegador Firefox, aumentando seu potencial de coleta de informações. O XCSSET desativa recursos críticos de segurança do macOS, deixando sistemas infectados vulneráveis a outras ameaças. Para mitigar esses riscos, recomenda-se que as organizações implementem procedimentos rigorosos de verificação de projetos no Xcode e utilizem o Microsoft Defender para Endpoint.

O ator de ameaças conhecido como Vane Viper foi identificado como um fornecedor de tecnologia publicitária maliciosa, utilizando uma rede complexa de empresas de fachada para evitar responsabilidades. De acordo com um relatório técnico da Infoblox, em colaboração com Guardio e Confiant, Vane Viper tem fornecido infraestrutura para malvertising, fraudes publicitárias e proliferação de ciberameaças por pelo menos uma década. O grupo não apenas intermedia tráfego para distribuidores de malware e phishers, mas também realiza suas próprias campanhas. Uma técnica notável utilizada por Vane Viper é o abuso de permissões de notificações push, permitindo que anúncios sejam exibidos mesmo após o usuário sair da página inicial. A análise revelou que Vane Viper é responsável por cerca de 1 trilhão de consultas DNS em redes de clientes, explorando centenas de milhares de sites comprometidos. Além disso, a operação registra um grande número de novos domínios mensalmente, com picos de até 3.500 domínios em um único mês. A empresa PropellerAds, que nega qualquer envolvimento em atividades maliciosas, está ligada a Vane Viper, levantando preocupações sobre a segurança das plataformas de publicidade digital. Este cenário representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a conformidade com a LGPD é crucial.

Recentemente, o LastPass, um popular gerenciador de senhas, alertou sobre uma campanha de phishing que visa usuários do macOS. Criminosos estão se passando pela marca para instalar malwares que roubam credenciais através de um método chamado ClickFix. O aplicativo falso, que tenta se disfarçar como LastPass, é encontrado em buscas em motores como Google e Bing, e pode incluir capacidades de backdoor, permitindo acesso oculto aos dispositivos das vítimas. Além do LastPass, mais de 100 outros aplicativos, como 1Password e Dropbox, também estão sendo imitados. Os golpistas utilizam repositórios do GitHub para distribuir o malware, que é baixado após o usuário executar comandos no terminal do Mac. Este malware, conhecido como AMOS, é um serviço de malware que custa cerca de US$ 1.000 por mês para os criminosos. A LastPass está monitorando e reportando essas páginas falsas, mas a criação de novos repositórios é rápida, dificultando a remoção completa do malware. Especialistas recomendam que os usuários confiem apenas em sites oficiais para downloads e estejam atentos a possíveis imitações.

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Em setembro de 2025, o Zscaler ThreatLabz revelou uma campanha sofisticada do grupo APT COLDRIVER, vinculado à Rússia, que utiliza a técnica de engenharia social ClickFix. Tradicionalmente focado em phishing de credenciais, o grupo agora mira ONGs, jornalistas e defensores dos direitos humanos. A campanha começa com um site malicioso que imita um recurso informativo e induz a vítima a executar um comando malicioso que baixa o backdoor BAITSWITCH. Este backdoor estabelece persistência e se comunica com um servidor de comando e controle (C2) para baixar um segundo payload, o backdoor SIMPLEFIX. O SIMPLEFIX opera em um ciclo de três minutos, permitindo que os atacantes executem comandos e exfiltrarem dados. A campanha destaca a eficácia de vetores de ataque simples e a necessidade de controles de acesso rigorosos e soluções de segurança como o Windows AppLocker. O Zscaler classifica o BAITSWITCH como Win64.Downloader.BAITSWITCH e o SIMPLEFIX como PS.Backdoor.SIMPLEFIX, oferecendo cobertura contra essa ameaça em evolução.

Pesquisadores de cibersegurança descobriram uma campanha sofisticada de malware direcionada ao WordPress, que utiliza dois arquivos backdoor complementares para garantir acesso administrativo persistente a sites comprometidos. O primeiro componente, disfarçado como um plugin legítimo chamado ‘DebugMaster Pro’, cria uma conta de administrador não autorizada com credenciais fixas. Este malware oculta sua presença removendo-se das listagens de plugins e escondendo a nova conta de administrador. O segundo componente, um script chamado ‘wp-user.php’, atua como um mecanismo de segurança que monitora a conta de administrador criada, recriando-a sempre que for removida, garantindo assim o acesso contínuo. Os especialistas recomendam que os administradores de sites WordPress realizem verificações de integridade de arquivos, auditem contas de usuários e implementem sistemas de monitoramento de arquivos para detectar e mitigar essa ameaça. A descoberta ressalta a importância de varreduras de segurança regulares, que devem incluir componentes disfarçados que imitam funcionalidades legítimas do WordPress.

Pesquisadores de cibersegurança descobriram dois crates maliciosos escritos em Rust, chamados faster_log e async_println, que se disfarçam como uma biblioteca legítima chamada fast_log. Esses crates foram publicados por um ator de ameaça sob os pseudônimos rustguruman e dumbnbased em 25 de maio de 2025, acumulando 8.424 downloads. O código malicioso embutido nos crates é projetado para escanear arquivos de código-fonte em busca de chaves privadas de carteiras Solana e Ethereum, enviando as informações coletadas para um servidor de comando e controle (C2) via HTTP POST. A vulnerabilidade foi identificada após uma divulgação responsável, levando os mantenedores do crates.io a remover os pacotes e desativar as contas dos autores. O ataque, classificado como typosquatting, utiliza um logger funcional com um nome familiar, o que pode passar despercebido em revisões superficiais. A campanha destaca como uma pequena quantidade de código malicioso pode representar um risco significativo na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento e integração contínua.

Pesquisadores de cibersegurança alertam usuários de Mac sobre uma campanha que utiliza repositórios fraudulentos no GitHub para disseminar malware, especificamente o infostealer conhecido como Atomic Stealer. Os atacantes criam contas falsas no GitHub, imitando empresas confiáveis para induzir os usuários a baixar softwares falsos. Um exemplo recente envolveu páginas que se passavam pelo LastPass, levando os usuários a executar comandos no terminal do Mac que baixavam e instalavam o malware. Essa técnica de engenharia social é potencializada por estratégias de SEO, que fazem com que os links maliciosos apareçam nas primeiras posições dos resultados de busca. Embora algumas páginas tenham sido removidas, os atacantes frequentemente retornam com novos perfis, levantando preocupações sobre a eficácia das plataformas em proteger os usuários. Para se proteger, recomenda-se baixar softwares apenas de fontes verificadas, evitar comandos de sites desconhecidos e manter o sistema atualizado.

Um novo agente malicioso, denominado TA558, está por trás de uma série de ataques a hotéis no Brasil e na América Latina, com o objetivo de roubar dados de cartões de crédito de hóspedes. Os ataques, conhecidos como RevengeHotels, utilizam e-mails de phishing que imitam documentos legítimos, como recibos de reservas, para disseminar o malware VenomRAT. Este trojan de acesso remoto é capaz de evitar a detecção por antivírus e se propaga através de scripts em JavaScript e PowerShell, muitos dos quais apresentam características que sugerem a utilização de inteligência artificial na sua criação.

A empresa de segurança Point Wild identificou um novo malware chamado Raven Stealer, que ataca navegadores populares como Google Chrome e Microsoft Edge. O vírus, que se espalha principalmente por meio de fóruns obscuros e programas piratas, é desenvolvido em Delphi e C++. Ele se instala como um programa aparentemente inofensivo e, em seguida, executa um payload malicioso diretamente na memória do computador, evitando a detecção por antivírus. O Raven Stealer é capaz de roubar senhas, cookies e informações de pagamento, enviando esses dados para cibercriminosos via bots de mensagem no Telegram. A equipe de pesquisa recomenda o uso de antivírus atualizados e a cautela ao baixar programas piratas ou clicar em links suspeitos. O ataque destaca a evolução das técnicas de hackers, que agora utilizam ferramentas que podem ser operadas por indivíduos com pouco conhecimento técnico. Apesar de um problema de token no Telegram ter dificultado o envio de dados em alguns testes, o risco de roubo de informações permanece alto.

Um novo ataque cibernético em larga escala tem como alvo usuários de macOS, utilizando o GitHub Pages para distribuir malware disfarçado de softwares confiáveis, como Malwarebytes e LastPass. Os criminosos criam repositórios falsos com nomes enganosos, otimizando-os para aparecer nas primeiras posições dos resultados de busca. O principal malware utilizado é o Atomic Stealer (AMOS), que rouba credenciais, dados de navegadores e informações de carteiras de criptomoedas sem o conhecimento do usuário. O ataque se aproveita de técnicas de SEO para atrair vítimas, levando-as a executar scripts de instalação maliciosos. Uma vez instalado, o AMOS se torna persistente, criando arquivos que garantem sua execução em logins e inicializações do sistema. Além disso, o malware manipula o conteúdo da área de transferência para redirecionar endereços de carteiras de criptomoedas. Para se proteger, os usuários devem evitar comandos de instalação de fontes não verificadas e utilizar soluções de anti-malware em tempo real. Em caso de infecção, recomenda-se a remoção de arquivos suspeitos e a reinstalação completa do macOS a partir de backups verificados.

Pesquisadores de segurança revelaram uma nova técnica de ataque que permite a invasores contornar soluções de Detecção e Resposta em Endpoint (EDR) ao executar arquivos executáveis portáteis (PE) diretamente na memória, sem gravá-los no disco. Essa técnica, conhecida como carregador PE em memória, possibilita a injeção e execução de binários maliciosos em processos considerados benignos. O método utiliza APIs do WinINet para baixar o arquivo PE de repositórios remotos e alocar memória virtual para executar o código malicioso. Durante testes, soluções como Microsoft Defender XDR e Sophos XDR não conseguiram detectar essa execução em memória, evidenciando uma falha crítica nas defesas tradicionais. Para mitigar esses riscos, as equipes de segurança devem implementar análises comportamentais e monitoramento de alocação de memória, além de reforçar políticas de whitelist de aplicativos e auditar requisições HTTP de processos críticos. A crescente adoção de métodos sem arquivo exige que as organizações evoluam suas abordagens de segurança, garantindo visibilidade abrangente tanto em operações de sistema de arquivos quanto em memória.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de malware chamada YiBackdoor, que apresenta ‘significativas’ semelhanças de código com os malwares IcedID e Latrodectus. Identificado pela primeira vez em junho de 2025, o YiBackdoor é capaz de executar comandos arbitrários, coletar informações do sistema, capturar screenshots e implantar plugins que ampliam suas funcionalidades. Embora a conexão exata entre YiBackdoor, IcedID e Latrodectus ainda não esteja clara, acredita-se que o novo malware possa ser utilizado em ataques de ransomware, servindo como um precursor para exploração adicional. O malware utiliza técnicas rudimentares de anti-análise para evitar ambientes virtualizados e incorpora a capacidade de injetar sua funcionalidade principal no processo ‘svchost.exe’. A persistência no sistema é alcançada através da chave de registro Run do Windows. Até o momento, as implantações do YiBackdoor são limitadas, sugerindo que ainda está em desenvolvimento ou em fase de testes. Além disso, novas versões do ZLoader foram identificadas, apresentando melhorias em ofuscação de código e técnicas de evasão, o que indica uma evolução contínua das ameaças no cenário de cibersegurança.

Um grupo de espionagem cibernética suspeito de estar vinculado à China, identificado como UNC5221, tem como alvo empresas dos setores de serviços jurídicos, provedores de software como serviço (SaaS), terceirização de processos de negócios (BPOs) e tecnologia nos Estados Unidos. O grupo utiliza um backdoor conhecido como BRICKSTORM, que permite acesso persistente às organizações atacadas por mais de um ano. O objetivo principal é acessar dados de clientes e informações relacionadas à segurança nacional e propriedade intelectual. O BRICKSTORM, documentado pela primeira vez no ano passado, explora vulnerabilidades zero-day em dispositivos Ivanti Connect Secure e tem sido utilizado em ambientes Windows na Europa desde novembro de 2022. Este malware, desenvolvido em Go, possui funcionalidades avançadas, como manipulação de arquivos e execução de comandos shell, e se comunica com um servidor de comando e controle via WebSockets. A campanha é caracterizada por sua capacidade de permanecer indetectável, com um tempo médio de permanência nas redes das vítimas de 393 dias. A Google desenvolveu um scanner para ajudar potenciais vítimas a identificar a presença do BRICKSTORM em seus sistemas. A complexidade e a furtividade dessa campanha representam uma ameaça significativa para organizações que utilizam tecnologias vulneráveis.

Um aplicativo espião ilegal, conhecido como Celular 007, foi utilizado em mais de 100 mil celulares no Brasil, revelando conversas privadas sem autorização. A invasão do sistema do aplicativo foi realizada por hackers, que entregaram os dados à organização DDoSecrets, em colaboração com o InterSecLab. Embora o aplicativo seja promovido como uma ferramenta para pais monitorarem seus filhos, na prática, ele é utilizado para espionagem, incluindo perseguições e investigações clandestinas. Os dados vazados abrangem um período de quase uma década, com 116.079 celulares espionados por 105.897 usuários, incluindo cidadãos comuns e servidores públicos. Apesar de sua ilegalidade, o Celular 007 é amplamente acessível na internet, custando R$ 209 por um pacote de 15 dias. A instalação requer acesso físico ao celular alvo e permite o rastreamento de microfone, câmera e localização. O uso de aplicativos desse tipo é estritamente regulado no Brasil, sendo permitido apenas em situações específicas, como o monitoramento de menores. A diretora do InterSecLab alerta para a falta de segurança da informação no país e recomenda cautela ao compartilhar senhas de dispositivos móveis.

Analistas de cibersegurança identificaram uma campanha sofisticada que utiliza utilitários do Windows disfarçados como testes de velocidade da Internet, processadores de PDF e interfaces de busca de IA. Esses instaladores, empacotados com Inno-Packer, extraem silenciosamente uma pasta do Node.js e um script JavaScript ofuscado, registrando uma tarefa agendada para executar o script a cada doze horas, enquanto a funcionalidade legítima permanece intacta. Embora os usuários recebam leituras precisas de largura de banda e conversões de PDF, o instalador também implanta um binário do Node.js e um arquivo .js codificado no diretório do aplicativo. A tarefa agendada garante a execução persistente em segundo plano, confirmando que a remoção do componente JavaScript não afeta a funcionalidade principal, evidenciando seu papel como uma porta dos fundos oculta. O script malicioso utiliza uma rotina de decodificação em múltiplas etapas para revelar strings legíveis, realizando consultas ao registro do Windows e enviando dados para um domínio de comando e controle. Organizações devem inspecionar tarefas agendadas e diretórios de instalação para identificar pastas inesperadas do Node.js ou arquivos .js, bloquear domínios conhecidos e implementar assinaturas de detecção para neutralizar esses componentes antes que comandos maliciosos sejam executados.

A equipe de pesquisa de ameaças Socket identificou um sofisticado esquema de ofuscação em um pacote npm malicioso chamado fezbox (versão 1.3.0), publicado sob o alias ‘janedu’. Este pacote, que se apresenta como uma biblioteca utilitária de alto desempenho para JavaScript/TypeScript, esconde um payload em múltiplas camadas projetado para extrair credenciais de cookies do navegador. O ataque utiliza um QR code esteganográfico para embutir código executável, permitindo que o invasor evite análises tradicionais e envie valores de ‘username’ e ‘password’ para um servidor remoto. O fezbox exporta utilitários comuns e, em seu código minificado, contém uma função que ativa apenas em contextos de produção, após um atraso de 120 segundos. O QR code é utilizado para recuperar um script JavaScript que lê cookies específicos, ofuscando os nomes das propriedades e revertendo strings para acessar os valores de credenciais. Embora a maioria das aplicações modernas evitem armazenar credenciais em texto simples em cookies, a técnica inovadora de esteganografia baseada em QR destaca a necessidade de inspeção rigorosa de dependências. Os desenvolvedores devem estar atentos a carregadores dinâmicos inesperados e chamadas de rede pós-instalação.

Desde o início de 2025, pesquisadores da Check Point identificaram um aumento nas atividades de espionagem cibernética do grupo Nimbus Manticore, que utiliza portais de recrutamento falsos para disseminar malware sofisticado. Inicialmente focado em alvos do setor aeroespacial e de defesa no Oriente Médio, o grupo agora se expande para a Europa Ocidental, mirando empresas de defesa, telecomunicações e aeroespaciais em países como Dinamarca, Suécia e Portugal.

O malware principal, conhecido como MiniJunk, evoluiu para uma variante avançada que utiliza técnicas inovadoras para evitar a detecção. A infecção começa com e-mails de spear-phishing que se passam por recrutadores de grandes empresas, levando as vítimas a páginas de login falsificadas. Após o login bem-sucedido, um arquivo malicioso é entregue, permitindo que os atacantes monitorem as interações e capturem dados sensíveis.

Pesquisadores de cibersegurança estão alertando sobre uma campanha de SEO poisoning, conhecida como Operação Rewrite, que parece ser conduzida por um ator de ameaça de língua chinesa. O malware utilizado, chamado BadIIS, tem como alvo principalmente a região do Sudeste Asiático, com foco especial no Vietnã. A técnica de SEO poisoning manipula os resultados de mecanismos de busca para direcionar usuários a sites indesejados, como de jogos de azar e pornografia, visando lucro financeiro. O BadIIS intercepta e modifica o tráfego HTTP, permitindo que os atacantes injetem conteúdo malicioso em sites legítimos. Os atacantes também utilizam uma infraestrutura compartilhada com um grupo identificado como Grupo 9, conforme relatado pela ESET. Além disso, a pesquisa revelou que os atacantes podem criar contas de usuário locais e implantar shells web para acesso remoto persistente. Essa atividade representa um risco significativo, especialmente considerando a possibilidade de comprometer servidores em várias regiões, incluindo o Brasil. A manipulação de resultados de busca pode ter implicações diretas na segurança e na conformidade com a LGPD, tornando essencial que os CISOs brasileiros estejam atentos a essa ameaça.

O GitHub anunciou mudanças significativas em suas opções de autenticação e publicação, em resposta a uma série de ataques à cadeia de suprimentos que afetaram o ecossistema npm, incluindo o ataque Shai-Hulud. As novas medidas visam mitigar ameaças como o abuso de tokens e malware auto-replicante. Entre as alterações, destaca-se a implementação de autenticação de dois fatores (2FA) obrigatória para publicações locais, a limitação da validade de tokens granulares a sete dias e a introdução de uma nova funcionalidade chamada ‘publicação confiável’. Esta última elimina a necessidade de tokens npm, utilizando credenciais específicas de fluxo de trabalho que são criptograficamente autenticadas, garantindo a origem e o ambiente de construção de cada pacote publicado. O ataque Shai-Hulud, que injetou um verme auto-replicante em centenas de pacotes npm, destacou a vulnerabilidade do sistema, ao permitir que segredos sensíveis fossem extraídos de máquinas de desenvolvedores. Além disso, um pacote malicioso chamado fezbox foi identificado, capaz de roubar senhas de navegadores através de uma técnica esteganográfica. Embora o pacote tenha sido removido, ele ilustra a necessidade crescente de ferramentas de verificação de dependências. Essas mudanças são cruciais para aumentar a confiança na cadeia de suprimentos de software e proteger os desenvolvedores contra novas ameaças.

O popular jogo BlockBlasters foi removido da plataforma Steam após a descoberta de que um patch lançado em agosto continha componentes maliciosos que podem roubar informações sensíveis dos jogadores. Desenvolvido pela Genesis Interactive, o jogo recebeu boas críticas após seu lançamento em julho, mas a atualização de 30 de agosto introduziu um malware que comprometeu a segurança de centenas de usuários. A empresa de segurança G DATA identificou que o patch não apenas corrigia bugs, mas implementava uma operação de roubo de informações em múltiplas etapas. O ataque começa com um arquivo chamado game2.bat, que coleta dados como credenciais de login do Steam e informações sobre antivírus instalados. Esses dados são enviados para um servidor de comando e controle. O malware também executa scripts em Visual Basic que coletam extensões de navegador e dados de carteiras de criptomoedas. A situação se agravou quando o malware alterou as configurações do Microsoft Defender para evitar a detecção. Após a remoção do jogo, especialistas em segurança alertam os jogadores a desinstalarem o BlockBlasters e realizarem varreduras completas em seus sistemas, além de monitorarem suas contas de criptomoedas para atividades suspeitas.

Um incidente alarmante ocorreu com o streamer letão Raivo Plavnieks, conhecido como RastalandTV, que teve mais de R$ 170 mil roubados de sua carteira de criptomoedas após baixar o jogo Block Blasters, disponível na plataforma Steam. O jogo, que estava ativo entre 30 de julho e 21 de setembro de 2025, foi inicialmente considerado seguro, mas em 30 de agosto, recebeu um dropper que instalou um aplicativo malicioso em computadores de jogadores. O malware coletava informações sensíveis, como dados de login do Steam e endereços IP, enviando-os para os golpistas. A investigação revelou que até 478 contas de usuários do Steam foram comprometidas, com perdas totais estimadas em até US$ 150.000. O caso destaca a vulnerabilidade de jogadores que possuem criptomoedas e a necessidade de cautela ao baixar jogos, especialmente aqueles com avaliações positivas, mas que podem esconder malwares. A Valve, responsável pelo Steam, ainda não se pronunciou sobre o incidente. Usuários afetados são aconselhados a trocar suas senhas e transferir seus ativos digitais para carteiras mais seguras.

Uma nova campanha de cibersegurança está em andamento, visando usuários do macOS através de páginas fraudulentas no GitHub. A equipe de inteligência de ameaças da LastPass identificou repositórios falsos que imitam empresas legítimas, como gerenciadores de senhas e instituições financeiras. Esses sites, que aparecem nas primeiras posições dos resultados de busca, enganam os usuários a instalarem um software malicioso chamado Atomic Stealer, que coleta credenciais e dados sensíveis. Os atacantes utilizam técnicas de SEO agressivas para aumentar a visibilidade de suas páginas, dificultando a detecção. Quando os usuários clicam nos links de download, são redirecionados para um site que instrui a execução de um comando no Terminal do macOS, que baixa e executa um script malicioso. A LastPass recomenda que os usuários instalem aplicativos apenas de fontes verificadas e que as equipes de segurança monitorem URLs suspeitas. A campanha é uma preocupação crescente, especialmente devido à sua capacidade de evadir controles de segurança básicos e à rápida rotação de contas e repositórios utilizados pelos atacantes.

Recentemente, atores de ameaças associados à Coreia do Norte têm utilizado iscas do tipo ClickFix para disseminar malwares conhecidos como BeaverTail e InvisibleFerret. Essa nova abordagem visa principalmente profissionais de marketing e traders em organizações de criptomoedas e varejo, ao invés de focar em desenvolvedores de software, como era comum anteriormente. O malware BeaverTail, que atua como um ladrão de informações e downloader de um backdoor em Python, foi inicialmente exposto em 2023 e faz parte de uma campanha mais ampla chamada ‘Contagious Interview’.

Pesquisadores de cibersegurança da SentinelOne apresentaram no LABScon 2025 a descoberta do MalTerminal, um malware que incorpora capacidades de Modelos de Linguagem de Grande Escala (LLMs). Este malware, que utiliza a API do OpenAI GPT-4, é capaz de gerar dinamicamente códigos de ransomware ou shells reversos. Embora não haja evidências de que tenha sido utilizado em ataques reais, sua existência representa um marco na evolução das técnicas de ataque, com a introdução de malwares que podem gerar lógica maliciosa em tempo real. Além disso, a pesquisa revelou que criminosos cibernéticos estão utilizando prompts ocultos em e-mails de phishing para enganar scanners de segurança baseados em IA, aumentando a eficácia desses ataques. O uso de ferramentas de IA generativa por cibercriminosos está se tornando uma tendência preocupante, com um aumento nas campanhas de engenharia social que exploram plataformas de hospedagem de sites para criar páginas de phishing. Esse cenário exige atenção redobrada das empresas, especialmente em relação à segurança de suas comunicações eletrônicas e à proteção de dados sensíveis.

A LastPass alertou sobre uma campanha de roubo de informações que está afetando usuários do macOS, utilizando repositórios falsos no GitHub para distribuir programas maliciosos disfarçados de ferramentas legítimas. Os pesquisadores da LastPass identificaram que os repositórios fraudulentos redirecionam as vítimas para um repositório que baixa o malware conhecido como Atomic Stealer. Além do LastPass, outras ferramentas populares como 1Password, Dropbox e Shopify também estão sendo impersonificadas.

A técnica utilizada inclui a otimização de mecanismos de busca (SEO) para posicionar links maliciosos nos primeiros resultados do Bing e Google, levando os usuários a clicar em botões de download que os redirecionam para páginas do GitHub. Essas páginas, criadas por múltiplos usuários para evitar remoções, instruem os usuários a executar comandos no Terminal, resultando na instalação do malware. Campanhas semelhantes já foram observadas anteriormente, utilizando anúncios patrocinados maliciosos e repositórios públicos para distribuir cargas maliciosas. A situação é preocupante, pois o uso de repositórios do GitHub para hospedar malware pode enganar até mesmo usuários mais experientes.

Um novo relatório da Black Lotus Labs, da Lumen Technologies, revela a existência de uma rede de proxies chamada REM Proxy, que é alimentada pelo malware SystemBC. Este malware transforma computadores infectados em proxies SOCKS5, permitindo que os hosts infectados se comuniquem com servidores de comando e controle (C2) e baixem cargas adicionais. A REM Proxy é uma rede significativa, oferecendo cerca de 20.000 roteadores Mikrotik e uma variedade de proxies abertos disponíveis online. O SystemBC, documentado pela primeira vez em 2019, tem como alvo tanto sistemas Windows quanto Linux, e sua variante para Linux é utilizada principalmente para atacar redes corporativas e dispositivos IoT. A botnet é composta por mais de 80 servidores C2 e cerca de 1.500 vítimas diárias, com 80% delas sendo sistemas de servidores privados virtuais (VPS) comprometidos. A maioria dos servidores afetados apresenta várias vulnerabilidades conhecidas, com uma média de 20 CVEs não corrigidas por vítima. O malware é utilizado por grupos criminosos para realizar atividades maliciosas, como a força bruta de credenciais de sites WordPress, com o objetivo de vender essas credenciais em fóruns underground. O relatório destaca a resiliência operacional do SystemBC, que se estabeleceu como uma ameaça persistente no cenário de cibersegurança.

O ConnectWise ScreenConnect, uma solução popular de Monitoramento e Gerenciamento Remoto, está sendo explorado por cibercriminosos para obter acesso persistente a redes empresariais nos EUA. Pesquisadores identificaram pelo menos oito hosts públicos que distribuem instaladores adulterados do ScreenConnect, que contêm arquivos maliciosos como AsyncRAT e um loader em PowerShell. Os atacantes utilizam um instalador repaginado que, ao ser baixado, busca um pacote ZIP com scripts maliciosos e uma DLL nativa. O ataque é sofisticado, utilizando técnicas como bypass de políticas de execução do PowerShell e injeção de processos para evitar a detecção por antivírus. Além disso, campanhas de phishing têm sido usadas para disseminar esses instaladores, marcando uma mudança estratégica para operações de acesso remoto persistente. Para mitigar esses riscos, é essencial implementar políticas de detecção comportamental e controles de rede que identifiquem padrões de download maliciosos. A adoção de autenticação multifatorial e a auditoria de acessos de terceiros também são recomendadas para proteger as consoles de RMM.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma campanha de malware sofisticada que explora duas vulnerabilidades recentemente divulgadas no Ivanti Endpoint Manager Mobile (EPMM). As falhas, identificadas como CVE-2025-4427 e CVE-2025-4428, permitem a execução remota de código não autenticado em servidores EPMM locais. Os atacantes utilizam requisições HTTP GET manipuladas para injetar segmentos de código malicioso, contornando defesas baseadas em assinatura. A CISA recomenda que as organizações atualizem imediatamente suas versões do Ivanti EPMM, tratem os sistemas de gerenciamento de dispositivos móveis como ativos de alto valor e implementem regras de detecção para identificar atividades suspeitas. A análise da CISA inclui regras YARA e SIGMA para ajudar na identificação de artefatos maliciosos e comportamentos anômalos. A vigilância contínua e a gestão rápida de patches são essenciais para mitigar essa ameaça ativa.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre duas famílias de malware encontradas na rede de uma organização não identificada, após a exploração de vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM). As falhas exploradas, CVE-2025-4427 e CVE-2025-4428, permitiram que atacantes contornassem a autenticação e executassem código remotamente. A primeira vulnerabilidade permite o acesso a recursos protegidos, enquanto a segunda possibilita a execução de código arbitrário. Os atacantes conseguiram acessar o servidor EPMM em meados de maio de 2025, utilizando um exploit de prova de conceito. Após a invasão, foram implantados dois conjuntos de arquivos maliciosos que garantiram a persistência e a execução de código arbitrário. Esses arquivos manipulam requisições HTTP para decodificar e executar cargas úteis maliciosas. Para se proteger, as organizações devem atualizar suas instâncias para a versão mais recente e monitorar atividades suspeitas.

Pesquisadores de cibersegurança da ESET identificaram uma colaboração entre os grupos de hackers russos Gamaredon e Turla, ambos associados ao Serviço Federal de Segurança da Rússia (FSB), visando entidades ucranianas. Em fevereiro de 2025, ferramentas do Gamaredon, como PteroGraphin e PteroOdd, foram utilizadas para executar o backdoor Kazuar do grupo Turla em sistemas na Ucrânia. O Kazuar, um malware frequentemente atualizado, é conhecido por sua capacidade de espionagem e coleta de dados. A ESET observou que o PteroGraphin foi usado para reiniciar o Kazuar após falhas, indicando uma estratégia de recuperação. Além disso, em abril e junho de 2025, foram detectadas implantações do Kazuar v2 através de outras ferramentas do Gamaredon. A invasão da Ucrânia pela Rússia em 2022 parece ter intensificado essa colaboração, com foco em setores de defesa. Os ataques têm como alvo informações sensíveis, utilizando técnicas como spear-phishing e arquivos LNK maliciosos. A ESET alerta que a combinação de ferramentas e a troca de informações entre os grupos aumentam o risco para as entidades ucranianas, e a situação requer atenção contínua.

Uma significativa campanha de fraudes publicitárias, denominada SlopAds, foi desmantelada pela Google após a identificação de 224 aplicativos maliciosos na Play Store. Esses aplicativos, que foram baixados mais de 38 milhões de vezes globalmente, eram capazes de gerar até 2,3 milhões de pedidos de publicidade diariamente. A equipe de segurança Satori Threat Intelligence, da empresa HUMAN, revelou que os hackers utilizavam técnicas sofisticadas, como esteganografia, para esconder códigos maliciosos em arquivos de imagem. Os aplicativos funcionavam normalmente quando baixados diretamente da loja, mas, ao serem obtidos via anúncios, baixavam um arquivo de configuração secreto que continha o malware FatModule. Este vírus utilizava WebViews para inundar os dispositivos com anúncios fraudulentos, gerando cliques e visualizações para os criminosos. O Brasil, afetado em 7% dos casos, é um dos países mais impactados, ao lado dos Estados Unidos e Índia. Após o alerta, a Google removeu os aplicativos maliciosos e atualizou o Google Play Protect para alertar os usuários sobre a necessidade de remoção imediata dos apps infectados.

Pesquisadores de cibersegurança identificaram dois novos pacotes maliciosos no repositório Python Package Index (PyPI) que têm como objetivo instalar um trojan de acesso remoto chamado SilentSync em sistemas Windows. Os pacotes, nomeados ‘sisaws’ e ‘secmeasure’, foram removidos do PyPI após a descoberta. O pacote ‘sisaws’ imita um pacote legítimo relacionado ao sistema de saúde argentino, mas contém uma função que baixa malware adicional. Já o ‘secmeasure’ se apresenta como uma biblioteca de segurança, mas também entrega o SilentSync. Este malware é capaz de executar comandos remotamente, exfiltrar dados de navegadores e capturar telas. Além disso, ele pode modificar registros no Windows e arquivos de crontab no Linux, além de registrar LaunchAgents no macOS. A descoberta desses pacotes ressalta o aumento do risco de ataques à cadeia de suprimentos em repositórios de software públicos, onde atacantes podem obter informações pessoais ao se disfarçarem de pacotes legítimos.

Pesquisadores em cibersegurança descobriram um novo loader de malware chamado CountLoader, utilizado por gangues de ransomware russas para entregar ferramentas de pós-exploração, como Cobalt Strike e AdaptixC2, além de um trojan de acesso remoto conhecido como PureHVNC RAT. O CountLoader aparece em três versões: .NET, PowerShell e JavaScript, e tem sido empregado em campanhas de phishing direcionadas a indivíduos na Ucrânia, utilizando iscas em PDF que se passam pela Polícia Nacional da Ucrânia. A versão em PowerShell já havia sido identificada anteriormente pela Kaspersky, que a associou a iscas relacionadas ao DeepSeek. O malware é capaz de reconfigurar instâncias de navegação para forçar o tráfego através de um proxy controlado pelos atacantes, permitindo a manipulação de dados. A versão JavaScript é a mais robusta, oferecendo múltiplos métodos para download de arquivos e execução de binários maliciosos. CountLoader utiliza a pasta de Música da vítima como um local para armazenar o malware e é suportado por uma infraestrutura de mais de 20 domínios únicos. Recentemente, campanhas que distribuem o PureHVNC RAT têm utilizado táticas de engenharia social, como anúncios de emprego falsos, para enganar as vítimas. A interconexão entre grupos de ransomware russos sugere uma adaptação constante às condições do mercado e uma dependência de relações de confiança entre os operadores.

Uma nova versão do malware conhecido como Raven Stealer está rapidamente se espalhando em mercados clandestinos, visando usuários de navegadores baseados em Chromium, como o Google Chrome. Desenvolvido principalmente em Delphi, com módulos centrais em C++, o Raven Stealer se destaca por sua furtividade operacional e interação mínima com o usuário, tornando-se uma ferramenta atraente para atacantes iniciantes e experientes.

O executável do malware, com cerca de 7 MB, incorpora componentes críticos em sua seção de recursos, utilizando um editor de recursos para incluir uma DLL criptografada. Essa DLL é protegida por criptografia ChaCha20, dificultando a análise estática. Durante a execução, o malware injeta a DLL em um processo do Chrome suspenso, permitindo acesso total aos dados do navegador.

Em 2025, o grupo MuddyWater evoluiu suas táticas de ataque, utilizando uma suíte de malware personalizada e multiestágio, focada em furtividade e resiliência. O ataque inicial é realizado por meio de e-mails de spear-phishing que contêm documentos maliciosos do Office. Ao serem abertos, esses documentos executam macros VBA que implantam um loader de primeira fase chamado Fooder. Este loader utiliza APIs criptográficas do Windows para derivar chaves AES e RSA, permitindo a descriptografia de cargas úteis subsequentes diretamente na memória, evitando a detecção por sandboxes.