Malware

Pesquisadores de cibersegurança da JPCERT/CC descobriram uma campanha de ataque sofisticada que utiliza o CrossC2, uma ferramenta não oficial que permite ao framework Cobalt Strike operar em sistemas Linux e macOS. Entre setembro e dezembro de 2024, os atacantes utilizaram essa capacidade multi-plataforma junto com um malware personalizado chamado ‘ReadNimeLoader’ para penetrar ambientes de Active Directory em diversos países, indicando uma evolução significativa nas ameaças cibernéticas. O CrossC2 expande as capacidades do Cobalt Strike, tradicionalmente focadas em Windows, para sistemas Unix, sendo compatível com arquiteturas x86 e x64 em Linux e dispositivos macOS baseados em Intel e M1. O malware ReadNimeLoader, escrito na linguagem Nim, atua como um carregador para os beacons do Cobalt Strike, empregando uma cadeia de execução complexa que inclui técnicas de evasão para evitar a detecção. A investigação sugere uma possível conexão com o grupo de ransomware BlackBasta, evidenciada por domínios de C2 associados e metodologias de ataque semelhantes. A campanha destaca a crescente tendência de atores de ameaças que expandem suas capacidades operacionais além dos ambientes Windows, tornando os servidores Linux alvos atraentes devido à falta de soluções robustas de detecção e resposta. A JPCERT/CC lançou uma ferramenta de análise para ajudar profissionais de segurança a examinar amostras do CrossC2, sublinhando a necessidade de monitoramento aprimorado em ambientes multi-plataforma.

Pesquisadores da Cisco Talos descobriram um novo framework de malware chamado PS1Bot, que se destaca por suas capacidades de infecção e persistência em dispositivos. O PS1Bot é distribuído por meio de campanhas de malvertising e SEO poisoning, que induzem usuários desavisados a baixar o malware. Uma vez instalado, ele pode atuar como um infostealer, keylogger e screen grabber, coletando dados sensíveis como informações de carteiras de criptomoedas. O malware utiliza um arquivo ZIP que contém um payload em JavaScript, que atua como um dropper, baixando um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2), permitindo que os atacantes enviem comandos adicionais para o malware. O PS1Bot é modular, o que significa que pode ser atualizado rapidamente para incluir novas funcionalidades. A implementação do módulo de roubo de informações utiliza listas de palavras para identificar arquivos que contêm senhas e frases-semente, que são então exfiltradas. A natureza flexível do PS1Bot representa uma ameaça significativa, especialmente para usuários que não adotam práticas de segurança cibernética rigorosas.

A Cisco Talos identificou uma nova e sofisticada campanha de malware, chamada PS1Bot, que tem como alvo sistemas Windows e está em operação ativa ao longo de 2025. Este malware, baseado em PowerShell e C#, representa uma evolução significativa nas capacidades de roubo de informações, focando especialmente em carteiras de criptomoedas e dados financeiros sensíveis. O PS1Bot utiliza uma arquitetura modular que permite a execução de componentes especializados, como captura de tela, keylogging e coleta de informações, tudo isso mantendo um perfil discreto ao executar suas operações na memória, sem deixar vestígios no disco rígido.

Pesquisadores de cibersegurança identificaram o PhantomCard, um sofisticado Trojan baseado em NFC que visa especificamente clientes bancários brasileiros, com potencial de expansão global. Este malware representa uma evolução nos ataques de relay NFC, seguindo as famílias de malware Ghost Tap e NFSkate, que mudaram o cenário de ameaças móveis desde 2024. O PhantomCard opera estabelecendo um canal de relay entre os cartões de pagamento físicos das vítimas e terminais de ponto de venda (POS) ou caixas eletrônicos controlados por fraudadores. O software malicioso se disfarça como aplicativos de ‘Proteção de Cartões’, distribuídos por páginas falsas do Google Play, e, uma vez instalado, solicita que os usuários aproximem seus cartões do dispositivo para ‘verificação’. O malware é projetado para cartões EMV e utiliza uma biblioteca específica para decifrar dados de comunicação. A origem do PhantomCard está ligada à plataforma chinesa NFU Pay, que permite a personalização do malware para distribuição local, o que representa um risco global significativo. As instituições financeiras enfrentam desafios sem precedentes na detecção desses ataques, pois as transações parecem legítimas, originando-se dos cartões reais das vítimas, dificultando a identificação de fraudes.

Pesquisadores de cibersegurança revelaram um novo trojan Android chamado PhantomCard, que explora a comunicação por campo de proximidade (NFC) para realizar ataques de relay, facilitando transações fraudulentas direcionadas a clientes bancários no Brasil. O malware é distribuído através de páginas falsas do Google Play que imitam aplicativos de proteção de cartões, como ‘Proteção Cartões’. Após a instalação, o aplicativo solicita que a vítima coloque seu cartão de crédito/débito na parte de trás do celular para ‘verificação’, mas na verdade, os dados do cartão são enviados para um servidor controlado por criminosos. O PhantomCard permite que os atacantes utilizem o cartão da vítima como se estivesse em suas mãos, tornando as fraudes difíceis de detectar. A empresa ThreatFabric identificou que o desenvolvedor por trás do malware, conhecido como Go1ano, é um revendedor recorrente de ameaças Android no Brasil. Além disso, o artigo destaca que o NFU Pay, um serviço de malware como serviço de origem chinesa, está por trás do PhantomCard, o que representa um risco crescente para instituições financeiras locais, que podem enfrentar uma variedade maior de ameaças globais. A situação é preocupante, especialmente em um cenário onde o uso de pagamentos por NFC está crescendo rapidamente.

Pesquisadores de cibersegurança do AhnLab Security Intelligence Center (ASEC) descobriram uma campanha de malware sofisticada que visa usuários que buscam baixar vídeos do YouTube. Essa campanha distribui um tipo de malware conhecido como proxyware, que rouba largura de banda da internet para lucro. O ataque se aproveita do desejo dos usuários de baixar conteúdo do YouTube, criando sites de download falsos que parecem legítimos, mas que servem como pontos de distribuição de malware. Ao tentar baixar vídeos, os usuários são redirecionados para páginas de anúncios ou solicitados a baixar softwares maliciosos disfarçados de ferramentas legítimas.

Pesquisadores de cibersegurança descobriram uma nova campanha de malvertising que visa infectar vítimas com um malware de múltiplas etapas chamado PS1Bot. Este malware possui um design modular, permitindo a execução de diversas atividades maliciosas, como roubo de informações, keylogging e acesso persistente ao sistema. A campanha, ativa desde o início de 2025, utiliza malvertising e otimização de mecanismos de busca (SEO) como vetores de propagação. O ataque começa com um arquivo ZIP que contém um payload JavaScript, que baixa um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2) para buscar comandos adicionais, permitindo que os operadores ampliem a funcionalidade do malware. Entre as capacidades do PS1Bot estão a detecção de antivírus, captura de tela, roubo de dados de carteiras de criptomoedas e registro de teclas. A modularidade do PS1Bot facilita atualizações rápidas e a implementação de novas funcionalidades. A Google anunciou que está utilizando inteligência artificial para combater tráfego inválido e melhorar a identificação de anúncios maliciosos, o que pode ajudar a mitigar tais campanhas. A natureza ativa e a complexidade do PS1Bot indicam um risco significativo para usuários e organizações, especialmente no contexto de crescente uso de criptomoedas.