Malware

Grupo de ameaças ligado à China explora servidores Roundcube em universidades

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando servidores vulneráveis do Roundcube em universidades dos Estados Unidos e Canadá, visando principalmente departamentos de física e engenharia, além de organizações de pesquisa em astrofísica e segurança nacional. Desde maio, a campanha tem sido rastreada pela empresa de cibersegurança Proofpoint, que relata que os ataques começam com e-mails maliciosos enviados de contas comprometidas ou domínios falsificados. Ao abrir esses e-mails em um cliente webmail Roundcube vulnerável, os usuários são afetados por uma falha de cross-site scripting (CVE-2024-42009), que executa um código JavaScript e carrega um payload chamado IceCube. Este malware é capaz de roubar credenciais, dados de autenticação de dois fatores e informações do navegador. Além disso, o malware tenta explorar uma falha de desserialização (CVE-2025-49113) para instalar um webshell PHP, SquareShell, que permite execução remota de código. A Proofpoint sugere que o UNK_MassTraction é um ator de espionagem alinhado à China, dado o uso de infraestrutura associada a grupos chineses e a tática de atacar servidores de e-mail. A empresa recomenda que administradores de sistemas Roundcube apliquem atualizações de segurança para mitigar essas vulnerabilidades.

Pacotes maliciosos no npm e PyPI visam aplicativos de pagamento

Recentemente, pacotes maliciosos foram identificados no Node Package Manager (npm) e no Python Package Index (PyPI), direcionados a desenvolvedores e usuários dos aplicativos de pagamento Paysafe, Skrill e Neteller. Os atacantes publicaram pelo menos 17 pacotes maliciosos simultaneamente, com a finalidade de exfiltrar credenciais e tokens de acesso para um servidor de comando e controle hospedado na Amazon Web Services (AWS). Esses pacotes se disfarçam como SDKs legítimos de pagamento, mas na verdade retornam respostas falsas de sucesso, enquanto buscam por segredos como tokens, senhas e chaves de API. A análise da empresa de segurança Socket revela que os pacotes npm publicaram quatro versões maliciosas, enquanto os pacotes PyPI apresentaram apenas uma. Os dados exfiltrados incluem chaves de API do Paysafe, chaves da AWS e tokens do GitHub. Os desenvolvedores que instalaram esses pacotes são aconselhados a rotacionar imediatamente todas as credenciais em qualquer máquina que tenha importado ou executado esses pacotes. A capacidade do atacante de transitar entre diferentes ecossistemas pode dificultar a defesa, especialmente se houver visibilidade limitada em um único ecossistema.

Fraude bancária no México utiliza iscas ClickFix para atacar clientes

Um novo esquema de fraude bancária está atacando clientes de bancos, fintechs e exchanges de criptomoedas no México, utilizando iscas ClickFix. A operação, identificada como REF6045 pelo Elastic Security Labs, envolve a infecção de vítimas através de páginas falsas de verificação CAPTCHA, que induzem os usuários a executar um comando malicioso que instala um toolkit PowerShell chamado SCMBANKER. Este malware é projetado especificamente para o ecossistema financeiro mexicano e possui capacidades como monitoramento de sessões bancárias, captura de telas e manipulação de área de transferência. O ataque começa com uma verificação CAPTCHA falsa que leva as vítimas a copiar e colar um comando malicioso. Após a instalação, o operador pode monitorar a atividade bancária da vítima, redirecionar navegadores e até mesmo bloquear a tela com avisos falsos. Os pesquisadores notaram que o SCMBANKER utiliza um modelo de linguagem para desenvolver suas ferramentas, evidenciando a utilização de inteligência artificial na criação do malware. A operação representa um risco significativo, pois já existem vítimas reais sendo monitoradas em tempo real pelos operadores. A descoberta de um diretório aberto permitiu a recuperação de informações detalhadas sobre a infraestrutura do ataque, revelando falhas de segurança operacional por parte dos criminosos.

Grupo de Ameaça Chinês Refinando Malware para Expandir Rede ORB

O grupo de ameaças avançadas persistentes (APT) conhecido como UAT-7810, vinculado à China, está aprimorando seu malware personalizado para expandir sua rede de Operational Relay Box (ORB). De acordo com a Cisco Talos, o UAT-7810 é responsável pela manutenção e proliferação do LapDogs, uma rede ORB identificada pela primeira vez em junho de 2025. O objetivo do grupo é estabelecer redes ORB que possam ser utilizadas por outros atores de ameaças para realizar ataques cibernéticos a alvos de alto valor. Recentemente, o UAT-7810 desenvolveu uma nova versão de seu malware, chamada LONGLEASH, além de outras ferramentas como DOGLEASH e LEASHTEST, que são utilizadas para explorar vulnerabilidades em dispositivos de rede, como roteadores Ruckus e ASUS. As campanhas do grupo têm se concentrado em explorar falhas conhecidas, como CVE-2020-22653 e CVE-2023-25717, para comprometer dispositivos e estabelecer acesso persistente. A evolução do malware indica um ciclo ativo de desenvolvimento, com novas funcionalidades sendo testadas em dispositivos MIPS. A situação representa um risco significativo para a segurança de redes, especialmente para infraestruturas críticas.

Hackers chineses evoluem malware para comprometer roteadores Ruckus

Hackers chineses identificados como ‘UAT-7810’ estão aprimorando seu malware para expandir sua rede de infraestrutura de relé operacional (ORB), focando principalmente em dispositivos de rede expostos à internet, como roteadores Ruckus não atualizados. De acordo com pesquisadores da Cisco Talos, essa rede ORB serve como uma infraestrutura de relé segura para outras ameaças persistentes avançadas (APTs) alinhadas à China. O malware LONGLEASH, uma versão aprimorada do backdoor SHORTLEASH, foi identificado, oferecendo novas funcionalidades, como redirecionamento de tráfego e suporte a TLS. Além disso, foram descobertos outros malwares, como DOGLEASH, um backdoor leve para Linux, e JARLEASH, uma ferramenta administrativa em Java. Os pesquisadores destacam que UAT-7810 explora vulnerabilidades conhecidas em roteadores, como CVE-2020-22653 e CVE-2023-25717, para obter acesso inicial. A continuidade da expansão da infraestrutura ORB e a substituição do SHORTLEASH pelo LONGLEASH indicam um aumento na capacidade operacional dos atacantes. A lista completa de indicadores de comprometimento (IoCs) relacionados à atividade do UAT-7810 está disponível no relatório da Cisco Talos.

Novo malware RedWing ameaça segurança bancária em dispositivos Android

Um novo malware para Android, denominado RedWing, está sendo comercializado no Telegram como um serviço de fraude bancária acessível até para criminosos de baixa habilidade. De acordo com a Zimperium, que identificou a operação, o RedWing é uma variante do malware Oblivion, e é oferecido em pacotes de assinatura que incluem descontos por indicação, guias e vídeos explicativos, permitindo que qualquer comprador crie um aplicativo personalizado sob demanda.

O processo de infecção começa com um link de phishing que direciona a vítima a uma página falsa de loja de aplicativos. O malware solicita permissões de forma gradual, utilizando técnicas enganosas para obter acesso total ao dispositivo. Uma vez instalado, o RedWing pode criar telas de login falsas, ler mensagens de texto para capturar códigos de autenticação e redirecionar chamadas, além de permitir o controle remoto do dispositivo.

Atores de ameaças abusam de chamadas do Microsoft Teams para instalar malware

A Palo Alto Networks, através da sua unidade Unit 42, revelou uma nova campanha de ciberataques que explora chamadas de voz do Microsoft Teams. Os atacantes se passam por funcionários de suporte técnico para induzir colaboradores a instalar o malware EtherRAT, que concede acesso remoto a redes corporativas. O ataque começa com um e-mail de phishing disfarçado de ‘Pesquisa de Funcionários’, contendo um PDF malicioso. Após abrir o documento, a vítima recebe uma chamada de voz do Teams de uma conta externa que se faz passar por um ‘Administrador de Sistema’. Os pesquisadores notaram que a sessão do Teams exibia o rótulo ‘Externo desconhecido’, indicando que o chamador pertencia a um locatário diferente do Microsoft 365. Após convencer a vítima a conceder controle remoto, o atacante orienta a instalação de ferramentas legítimas de acesso remoto, como HopToDesk e AnyDesk, antes de baixar e executar um instalador MSI malicioso que carrega o EtherRAT. Este trojan de acesso remoto, escrito em Node.js, permite que os atacantes executem comandos, manipulem arquivos e roubem dados. A campanha destaca a crescente preocupação com a segurança do Microsoft Teams, levando a empresa a implementar novas proteções contra ataques de phishing e vishing.

Grupo de hackers iranianos utiliza novo malware contra Israel

Um grupo de hackers iranianos, vinculado ao Ministério da Inteligência e Segurança do Irã, tem utilizado um novo framework modular de comando e controle (C2) chamado Cavern, visando principalmente organizações israelenses, especialmente no setor de TI e governo. A pesquisa da Check Point identificou que o Cavern Manticore, como é conhecido o grupo, apresenta semelhanças táticas com outros grupos como MuddyWater e Lyceum. O framework é construído sobre uma base .NET e utiliza múltiplos formatos de compilação, dificultando a análise por parte de especialistas em segurança.

Análise do antivírus MacPaw Moonlock

O MacPaw Moonlock é um novo software antivírus que se destaca no mercado por sua interface amigável e um conjunto abrangente de funcionalidades. Lançado em outubro de 2025, o Moonlock não apenas oferece proteção contra malware, mas também inclui um VPN, um inspetor de rede e um conselheiro de segurança. O software foi testado e certificado pelo AV-Test, obtendo notas altas em proteção e usabilidade. Apesar de suas qualidades, o preço de $54 por ano para um único dispositivo pode ser um obstáculo para alguns usuários, especialmente quando comparado a concorrentes mais baratos. Além disso, a necessidade de um cartão de crédito para iniciar o teste gratuito e a falta de suporte ao vivo são pontos negativos. A pesquisa da MacPaw indica que 66% dos usuários de Mac enfrentaram pelo menos uma ameaça cibernética no último ano, reforçando a importância de soluções de segurança como o Moonlock. O software é ideal para quem busca uma proteção mais robusta e educativa, mas pode não ser a melhor escolha para todos devido ao custo e à concorrência.

Novo trojan QuimaRAT ameaça sistemas Windows, Linux e macOS

Pesquisadores de cibersegurança identificaram um novo trojan de acesso remoto, denominado QuimaRAT, que opera em ambientes Windows, Linux e macOS. Este malware é oferecido sob um modelo de malware como serviço (MaaS), com preços que variam de $150 a $1.200, dependendo do período de assinatura. O QuimaRAT possui uma arquitetura modular, permitindo a expansão dinâmica de suas capacidades por meio de plugins criptografados. Os criadores do malware também disponibilizam um construtor que gera arquivos em diversos formatos, facilitando a personalização para diferentes ambientes. Embora o QuimaRAT prometa total furtividade em Windows e Linux, no macOS, algumas funcionalidades exigem permissões administrativas do usuário. O malware é projetado para executar uma variedade de ações maliciosas, incluindo execução remota de comandos, roubo de credenciais e vigilância por webcam. Além disso, ele utiliza técnicas avançadas para evitar detecções, como a execução de shellcode sem arquivos e um framework de comunicação resiliente. A análise sugere que o QuimaRAT é uma plataforma modular, o que representa um desafio significativo para a segurança cibernética, especialmente em um cenário onde a proteção de dados é crucial.

Incidentes de Cibersegurança Ameaças e Respostas Recentes

O cenário de cibersegurança apresentou eventos significativos na última semana, destacando a vulnerabilidade de dispositivos comuns e a exploração de falhas em sistemas amplamente utilizados. A ação conjunta do Google e do FBI resultou na desativação da rede de proxies residenciais NetNut, que utilizava dispositivos domésticos, como TVs inteligentes, para mascarar atividades maliciosas. Estima-se que a rede envolva cerca de 2 milhões de dispositivos globalmente. Além disso, o WhatsApp introduziu um sistema de nomes de usuário, levantando preocupações sobre possíveis abusos para impersonificação. Outro incidente relevante foi a descoberta do trojan bancário Ousaban, que ataca usuários na Espanha e Portugal através de documentos PDF falsos. Por fim, um novo ransomware gerado por IA foi identificado, explorando a API de Acesso a Arquivos do Chromium, embora ainda não tenha sido observado em ataques reais. Esses eventos ressaltam a necessidade de uma abordagem proativa em cibersegurança, especialmente em um ambiente onde a confiança é frequentemente mal colocada.

Estudo revela falhas em scanners de habilidades maliciosas para IA

Um estudo da Universidade de Ciência e Tecnologia de Hong Kong revelou que scanners projetados para detectar habilidades maliciosas em agentes de codificação de IA falham em mais de 90% dos casos. Os pesquisadores desenvolveram uma ferramenta chamada SKILLCLOAK, que reescreve habilidades maliciosas para parecerem inofensivas, utilizando técnicas como a troca de caracteres e o empacotamento autoextraível. Essas habilidades podem roubar credenciais, copiar códigos-fonte ou instalar backdoors, operando com o mesmo acesso que o agente. A pesquisa também introduziu o SKILLDETONATE, um verificador de comportamento que analisa o que uma habilidade faz em um ambiente controlado, conseguindo detectar 97% dos ataques. Embora essa abordagem seja mais lenta que os scanners tradicionais, ela é mais eficaz na identificação de ameaças ocultas. O estudo destaca a crescente preocupação com a segurança em marketplaces públicos, onde habilidades maliciosas são frequentemente encontradas. A situação é crítica, pois a confiança nas habilidades deve ser transferida do marketplace para o ambiente de execução, onde o comportamento malicioso se revela. Os pesquisadores alertam que a instalação deve ser feita apenas de fontes confiáveis e que o acesso dos agentes deve ser minimizado.

Meu celular foi hackeado? 9 sinais e o que fazer agora

O artigo aborda os sinais que indicam que um celular pode ter sido hackeado, destacando nove comportamentos suspeitos, como o envio de mensagens não autorizadas, consumo excessivo de dados e instalação de aplicativos desconhecidos. O texto também orienta sobre as ações imediatas a serem tomadas, como encerrar sessões desconhecidas em aplicativos e ativar a autenticação em duas etapas. Além disso, apresenta ferramentas gratuitas para verificar se o dispositivo foi comprometido e desmistifica alguns mitos comuns sobre segurança móvel. A importância de proteger contas de e-mail e redes sociais é enfatizada, pois são portas de entrada para acessos não autorizados. O artigo conclui com recomendações sobre como agir em caso de roubo ou uso indevido de dados pessoais.

Campanha de Malware da Coreia do Norte Alvo de Desenvolvedores de Criptomoedas

A campanha de cibersegurança conhecida como Contagious Interview, ligada a atores de ameaça da Coreia do Norte, tem se intensificado com a publicação de 108 pacotes e extensões de navegador maliciosos em plataformas como npm, Packagist, Go e Google Chrome. Os atacantes utilizam táticas de recrutamento para enganar desenvolvedores de software e profissionais do setor de criptomoedas, persuadindo-os a executar códigos maliciosos disfarçados. Desde 2023, a atividade tem se mostrado ativa, comprometendo 1.951 repositórios públicos do GitHub. Os atacantes não utilizam credenciais roubadas, mas sim exploram extensões maliciosas do VS Code ou pacotes npm para comprometer as contas dos mantenedores. O malware, uma variante do BeaverTail, busca arquivos específicos no computador da vítima e insere código JavaScript malicioso, além de modificar o histórico do Git para ocultar suas ações. A última onda de ataques envolve um carregador de malware que se conecta a infraestruturas de blockchain para baixar um segundo estágio de payloads maliciosos. Especialistas recomendam que usuários que instalaram esses pacotes tratem seus ambientes como comprometidos e realizem auditorias em seus repositórios e estações de trabalho.

Operação conjunta desmantela rede de proxies residenciais NetNut

Uma operação coordenada envolvendo o Google e outras entidades, como o FBI, resultou na desarticulação da NetNut, uma rede de proxies residenciais que controlava milhões de dispositivos Android comprometidos, incluindo TVs inteligentes e caixas de streaming. Conhecida também como Popa, a botnet NetNut permitia que cibercriminosos ocultassem suas atividades maliciosas utilizando endereços IP residenciais legítimos. Estima-se que a rede seja composta por pelo menos dois milhões de dispositivos infectados, que se tornaram parte da botnet após serem contaminados por malware, seja pré-instalado ou baixado por meio de aplicativos maliciosos. A operação resultou na apreensão de domínios utilizados pela NetNut e na desativação de contas e serviços que os operadores da botnet utilizavam para controle de malware. O Google também implementou medidas de proteção para alertar usuários e desativar aplicativos infectados. A desarticulação da NetNut pode ter um impacto significativo na indústria de proxies, uma vez que muitos serviços populares dependem dessa rede. O Google já havia realizado ações semelhantes anteriormente, visando desmantelar botnets de proxies residenciais.

Framework de malware modular Avalon representa nova ameaça cibernética

Pesquisadores de cibersegurança identificaram um novo framework de malware modular, denominado Avalon, que utiliza uma cadeia de phishing em múltiplas etapas para contornar controles de segurança tradicionais. O ataque inicia com um e-mail que simula um documento legal, levando o destinatário a um arquivo protegido por senha no Proton Drive. Dentro desse arquivo, um atalho do Windows aciona uma sequência de malware que culmina na execução do Avalon, que combina funções de coleta de credenciais, movimentação lateral, acesso remoto e execução de ransomware, conhecido internamente como CrownX.

Grupo Armored Likho ataca setores estratégicos em vários países

Um novo ator de ameaças cibernéticas, conhecido como Armored Likho, foi identificado como responsável por ataques direcionados a agências governamentais e ao setor de energia elétrica na Rússia, Brasil e Cazaquistão. Segundo a Kaspersky, esse grupo combina campanhas motivadas financeiramente com espionagem cibernética, utilizando um conjunto de ferramentas sofisticadas, como RATs (Remote Access Trojans) e infostealers, projetados para evitar análises dinâmicas. Os ataques começam com e-mails de spear-phishing que distribuem arquivos maliciosos disfarçados de notificações oficiais. O malware BusySnake, uma das ferramentas utilizadas, é um stealer em Python que coleta dados sensíveis, como credenciais e cookies de navegadores, e se comunica com servidores de comando e controle (C2). Além disso, o grupo tem laços com outra ameaça conhecida, chamada Eagle Werewolf, que também visa organizações governamentais e de defesa. A complexidade e a evolução das técnicas utilizadas pelo Armored Likho indicam um aumento na maturidade técnica do grupo, representando um risco significativo para a segurança cibernética, especialmente em setores críticos como energia e governo.

Ameaça de pacotes npm maliciosos ligados à Coreia do Norte

Recentemente, a empresa de cibersegurança JFrog identificou uma nova campanha de ataque envolvendo pacotes npm maliciosos associados a atores de ameaças da Coreia do Norte. Os pacotes, que se disfarçam como ferramentas de polifil para o Rollup, têm como objetivo facilitar o acesso remoto e o roubo de dados. Os pacotes ‘rollup-packages-polyfill-core’ e ‘rollup-runtime-polyfill-core’ imitam o projeto legítimo ‘rollup-plugin-polyfill-node’, o que pode enganar desenvolvedores durante uma revisão rápida de dependências. Além desses, outros quatro pacotes também foram removidos do registro npm, incluindo ‘quirky-token’ e ‘react-icon-svgs’.

Novo malware para macOS rouba credenciais e dados sensíveis

Pesquisadores de cibersegurança identificaram um novo malware para macOS chamado PamStealer, que utiliza técnicas sofisticadas para infectar sistemas e roubar dados sensíveis. Distribuído como um arquivo AppleScript disfarçado de Maccy, um gerenciador de área de transferência legítimo, o PamStealer valida a senha de login da vítima através dos Módulos de Autenticação Pluggable (PAM) do macOS antes de capturá-la. O malware é entregue em duas etapas: um AppleScript que baixa um segundo payload, um infostealer baseado em Rust, capaz de roubar credenciais, coletar dados de navegadores e persistir no sistema. O vetor de ataque inicial é um site falso que imita o Maccy, e o script executa um downloader que busca o payload malicioso. O malware também possui características que evitam a execução em ambientes de análise e sistemas fora do Apple Silicon. Após a captura da senha, o malware exibe um alerta falso, enganando a vítima para descartar o aplicativo malicioso. O desenvolvedor do Maccy já emitiu um alerta sobre sites fraudulentos que distribuem essa ameaça. Essa evolução dos stealers para macOS destaca a necessidade de vigilância constante e medidas de segurança robustas.

Ex-membro do Parlamento Europeu alvo de spyware Pegasus

Um novo relatório do Citizen Lab revelou que Stelios Kouloglou, ex-membro do Parlamento Europeu, teve seu dispositivo móvel repetidamente hackeado com o spyware Pegasus enquanto investigava o uso de ferramentas de vigilância comercial na União Europeia. A análise forense do seu iPhone indicou que os invasores poderiam acessar documentos confidenciais e deliberações do comitê. Embora não se tenha atribuído a responsabilidade a um governo específico, há indícios de que um cliente do Pegasus, autorizado a espionar em vários países europeus, pode estar por trás do ataque. Kouloglou foi membro do Comitê PEGA, criado para investigar o uso indevido de spyware comercial. O primeiro ataque ocorreu em outubro de 2022, seguido por outro em março de 2023, coincidindo com momentos críticos de discussões sobre o relatório do comitê. O uso do spyware Pegasus levanta preocupações sobre como governos podem abusar de tecnologias destinadas a combater crimes graves, como terrorismo, para espionar jornalistas e críticos. Além disso, o relatório também destacou campanhas de espionagem que exploram vulnerabilidades na infraestrutura de telecomunicações global, permitindo rastreamento de localização sem a necessidade de malware.

Google desmantela rede NetNut, uma das maiores botnets de proxy residencial

O Google, em colaboração com o FBI e outras entidades, anunciou a degradação significativa da NetNut, uma das maiores redes que transforma dispositivos residenciais em proxies alugados para tráfego de terceiros. A NetNut, também conhecida como Popa, é uma rede global que abrange pelo menos 2 milhões de dispositivos, incluindo TVs inteligentes e caixas de streaming. Quando um dispositivo da NetNut está em uma residência, criminosos podem redirecionar seu tráfego pela conexão de internet do usuário, comprometendo sua privacidade e segurança. A rede opera através da venda de acesso a endereços IP residenciais, permitindo que atacantes ocultem sua localização real. A empresa por trás da NetNut, a Alarum Technologies, nega a classificação de botnet, alegando que seu software é para compartilhamento de largura de banda consentido. No entanto, pesquisas indicam que os aplicativos associados não informam os usuários sobre esse consentimento. O Google alerta que a degradação da NetNut não é um desmantelamento definitivo, pois a rede possui um programa de revenda que permite que outras empresas comercializem o mesmo pool de dispositivos, tornando a situação complexa e resiliente. Para os consumidores, recomenda-se cautela ao usar aplicativos que prometem pagamento por largura de banda não utilizada e a compra de dispositivos de marcas conhecidas.

Grupo ToddyCat utiliza malware Umbrij para acessar e-mails corporativos

O grupo de ameaças avançadas conhecido como ToddyCat desenvolveu um novo malware chamado Umbrij, que visa comprometer o acesso a e-mails corporativos hospedados no Gmail por meio da API do Google. Segundo um relatório da Kaspersky, o Umbrij utiliza o protocolo OAuth 2.0 para obter tokens de autorização, permitindo que os atacantes acessem recursos de e-mail de forma furtiva. O malware opera em navegadores baseados em Chromium, explorando sessões ativas do Gmail. Ao lançar o navegador em modo headless e se conectar a uma porta de depuração remota, o Umbrij consegue capturar o código de autorização OAuth e trocá-lo por um token de acesso, comprometendo assim as comunicações de e-mail corporativas. O ataque é facilitado por técnicas como DLL side-loading, onde executáveis legítimos são abusados para iniciar o malware. A Kaspersky recomenda que as organizações revisem os códigos de autorização concedidos a aplicações e revoguem acessos não utilizados para mitigar os riscos. A automação do Umbrij aumenta a escala e a frequência dos ataques, evidenciando as habilidades técnicas avançadas do grupo ToddyCat.

Malware ChocoPoC se disfarça em códigos falsos para roubar dados

Pesquisadores de segurança alertaram sobre um novo malware chamado ChocoPoC, que se disfarça em repositórios de código falso no GitHub, direcionado a caçadores de bugs. O malware é um trojan que rouba dados sensíveis, como senhas salvas e cookies de navegadores, e oferece acesso remoto ao computador da vítima. O ataque ocorre quando os pesquisadores clonam repositórios e instalam dependências, levando à instalação de um pacote malicioso chamado ‘skytext’. Este pacote, ao detectar a execução de um código de prova de conceito (PoC), ativa o malware, que permanece oculto durante uma análise superficial. O ChocoPoC já foi encontrado em pelo menos sete repositórios falsos relacionados a vulnerabilidades conhecidas, como CVEs de produtos populares. A campanha é uma evolução de táticas anteriores, onde grupos maliciosos tentam explorar a pressa dos pesquisadores em testar novas falhas. A recomendação é que os pesquisadores tratem qualquer PoC como potencialmente hostil e verifiquem cuidadosamente as dependências antes de executá-las.

Malware ChocoPoC ataca pesquisadores de cibersegurança via GitHub

Pesquisadores de segurança identificaram uma nova campanha de malware que utiliza exploits de prova de conceito (PoC) no GitHub para disseminar um trojan de acesso remoto (RAT) chamado ChocoPoC. Este malware se destaca por não estar embutido diretamente nos arquivos de exploit, mas sim por meio de pacotes Python maliciosos adicionados à lista de dependências do PoC. Os pacotes, hospedados no Python Package Index (PyPI), são instalados automaticamente quando a vítima clona um repositório malicioso. O ChocoPoC é capaz de executar comandos arbitrários, coletar dados sensíveis como senhas de navegadores e histórico de navegação, e até mesmo exfiltrar dados através de conjuntos de dados do Mapbox. A campanha já foi associada a pelo menos sete repositórios no GitHub, explorando vulnerabilidades conhecidas. A instalação do pacote malicioso ‘frint’ puxa uma dependência adicional chamada ‘skytext’, que contém um código Python embutido que baixa o payload final. Com mais de 2.400 downloads, a maioria em sistemas Linux, a campanha se aproveita da curiosidade de pesquisadores e testadores de segurança. Especialistas recomendam que esses profissionais nunca confiem cegamente em repositórios do GitHub e executem códigos não verificados em ambientes isolados.

Nova cadeia de ataque de malware usa engenharia social e Blogger

Pesquisadores de cibersegurança identificaram uma nova cadeia de ataque de malware em múltiplas etapas, chamada VEIL#DROP, que utiliza engenharia social e páginas do Blogger para disseminar um ladrão de informações conhecido como PureLogs. O ataque começa com um arquivo JavaScript disfarçado, que executa comandos PowerShell para baixar um payload adicional hospedado em um blog. Esse método permite que os atacantes contornem defesas baseadas em reputação, aproveitando a infraestrutura confiável do Google. O payload baixado cria a ilusão de que um documento PDF está sendo aberto, enquanto a infecção ocorre em segundo plano. O malware é projetado para ser altamente evasivo, utilizando técnicas como mutação em tempo de execução e geração dinâmica de estágios, dificultando a detecção por soluções antivírus tradicionais. Além disso, o uso de binários assinados pela Microsoft permite que os atacantes realizem suas atividades sem levantar suspeitas. A infecção pode ter consequências graves, permitindo que dados sensíveis sejam extraídos e utilizados para comprometer ainda mais o ambiente alvo. Essa combinação de técnicas demonstra um esforço deliberado para evitar a detecção e manter a furtividade durante todo o ciclo de infecção.

Ameaça de Malware Utiliza ScreenConnect para Distribuir AsyncRAT

Um novo ataque cibernético está utilizando a ferramenta de acesso remoto ScreenConnect para implantar o malware AsyncRAT. A Kaspersky identificou uma campanha massiva que distribui arquivos de instalação maliciosos disfarçados de softwares populares, como OBS Studio e Bandicam, em mais de 90 domínios falsificados em 10 idiomas, incluindo português. Esses arquivos maliciosos contêm um executável legítimo da Microsoft e uma biblioteca DLL maliciosa, que, ao serem carregados, ativam o serviço ScreenConnect. Isso permite que os atacantes mantenham controle sobre os dispositivos comprometidos, que podem incluir tanto usuários individuais quanto organizações. O malware realiza diversas ações, como desativar o Controle de Conta de Usuário e criar scripts que extraem e executam o módulo AsyncRAT. A conexão com um servidor remoto permite que os invasores monitorem atividades e roubem dados sensíveis. A persistência do malware é garantida por uma tarefa agendada que executa scripts a cada dois minutos, mesmo após reinicializações do sistema. A Kaspersky alerta que os atacantes utilizam técnicas de SEO para posicionar seus sites fraudulentos nos resultados de busca, aumentando a probabilidade de infecção.

Trojan bancário brasileiro Ousaban ataca usuários na Espanha e Portugal

O trojan bancário brasileiro Ousaban está direcionando ataques a usuários do Windows que realizam transações bancárias na Espanha e em Portugal. Identificado pelo Fortinet’s FortiGuard Labs em maio de 2026, o ataque começa com um PDF de phishing disfarçado como um arquivo corrompido. Ao abrir o PDF, a vítima é induzida a clicar em um botão de ‘Atualizar’, que a redireciona para uma página maliciosa. Ousaban utiliza técnicas de geofencing para garantir que apenas usuários localizados em Espanha ou Portugal sejam afetados, bloqueando acessos de VPNs e ferramentas de segurança automatizadas. Uma vez instalado, o malware monitora mais de duas dezenas de bancos, incluindo Banco Santander e BBVA, capturando capturas de tela, teclas digitadas e manipulando a área de transferência para roubar credenciais bancárias. Ousaban é parte de um grupo de trojans brasileiros conhecidos como ‘Tetrade’, que têm um histórico de resiliência e adaptação. A detecção é dificultada por técnicas como esteganografia e a mudança diária de endereços de comando. O artigo alerta para a necessidade de cautela ao abrir PDFs ou e-mails suspeitos, especialmente aqueles que solicitam atualizações ou comandos para corrigir erros.

ClickFix a nova ameaça de malware que engana usuários

O ClickFix, uma técnica de engenharia social que induz usuários a executar malware, evoluiu significativamente, utilizando servidores API para entregar comandos maliciosos disfarçados. A pesquisa do especialista em segurança Bert-Jan Pals revelou que as páginas fraudulentas, que simulam CAPTCHAs ou erros, agora extraem comandos de servidores backend, oferecendo a cada visitante um malware diferente. Essa abordagem, que evita a detecção por antivírus tradicionais, resultou em um aumento de 517% nos casos de acesso inicial entre 2024 e 2025, conforme medido pela ESET. Além disso, uma nova técnica permite que o malware seja baixado silenciosamente para a pasta de Downloads, utilizando um comando aparentemente inofensivo que contorna a varredura de scripts do Windows. O ClickFix não é mais uma ferramenta exclusiva de criminosos, tendo sido associado a grupos apoiados por estados, como APT28 e MuddyWater. A pesquisa destaca a importância de monitorar cadeias de processos e não apenas o texto da área de transferência para detectar essas ameaças. O ClickFix representa um risco crescente, especialmente com sua capacidade de se adaptar rapidamente às defesas dos usuários.

Campanha maliciosa ataca desenvolvedores de bots do Telegram com trojans

Desde novembro de 2025, uma campanha de cibersegurança tem como alvo desenvolvedores de bots do Telegram que utilizam forks trojanizados do Pyrogram, permitindo que atacantes leiam arquivos arbitrários em servidores comprometidos. O Pyrogram, um framework popular para a criação de bots, não é mais mantido, mas ainda conta com cerca de 350.000 downloads mensais. Pesquisadores da Checkmarx identificaram pelo menos oito pacotes maliciosos publicados no Python Package Index (PyPI), que incluem um backdoor ativado por módulos auxiliares ao importar o Pyrogram ou ao iniciar o bot. O backdoor, chamado secret.py, registra manipuladores de comandos ocultos no Telegram, permitindo que os atacantes executem código Python ou comandos de shell no servidor da vítima. Isso possibilita o acesso a dados sensíveis, como chats do Telegram e variáveis de ambiente. A campanha, denominada ‘Operação Navy Ghost’, é atribuída a um único ator de ameaças, evidenciado pela lista de ‘OWNERS’ codificada nos pacotes. Os desenvolvedores que possam ter instalado esses pacotes devem removê-los imediatamente e rotacionar todas as credenciais do servidor afetado.

Nova família de malware RustDuck ataca roteadores e câmeras IP

Uma nova família de malware chamada RustDuck está comprometendo roteadores domésticos, câmeras IP, caixas Android e servidores mal protegidos, formando uma botnet destinada a realizar ataques de negação de serviço distribuída (DDoS). Pesquisadores da QiAnXin’s XLab monitoram essa ameaça desde fevereiro de 2026, destacando sua rápida evolução e a complexidade de suas técnicas de evasão. RustDuck se espalha por meio de senhas fracas, bugs não corrigidos e vulnerabilidades conhecidas em dispositivos, como CVE-2017-17215 e CVE-2025-29635. O malware é notável por ser reescrito em Rust, o que dificulta a análise e a desativação. Ele opera em duas etapas, começando com um carregador que descompacta um módulo central mais robusto. Além disso, RustDuck realiza verificações para evitar ser detectado em ambientes de pesquisa, utilizando criptografia avançada para suas comunicações. Embora atualmente seja uma botnet pequena, sua capacidade de adaptação e as técnicas que está testando podem representar uma ameaça crescente no futuro. Para mitigar os riscos, recomenda-se desativar interfaces de gerenciamento remoto, corrigir vulnerabilidades conhecidas e monitorar indicadores técnicos associados ao malware.

Extensão maliciosa no Chrome coleta dados de navegação

Uma extensão maliciosa na Chrome Web Store, disfarçada como o motor de respostas Perplexity AI, está interceptando tráfego de busca e coletando informações de navegação dos usuários. Nomeada ‘Search for perplexity ai’, a extensão redireciona consultas de busca e sugestões em tempo real através de sua infraestrutura antes de levar os usuários aos serviços de busca legítimos. Pesquisadores da Microsoft Threat Intelligence afirmaram que, embora a extensão não tenha roubado credenciais ou informações sensíveis, suas permissões poderiam facilmente permitir isso se o operador decidisse ampliar o escopo do roubo de dados. A extensão falsa utiliza uma marca semelhante e um domínio diferente do oficial, alterando as configurações de busca do navegador para substituir o provedor de busca padrão. A coleta de dados não é acidental, conforme evidenciado pelo código de registro encontrado no servidor da extensão, que indica um design intencional. Os usuários que instalaram a extensão devem removê-la imediatamente e trocar suas senhas de contas críticas como precaução.

Campanha de Extensões Maliciosas Roubando Criptomoedas em Navegadores

Pesquisadores de cibersegurança identificaram uma campanha ativa de extensões de navegador, chamada Silent Swap, que visa roubar criptomoedas ao substituir furtivamente endereços de carteiras durante transações. A campanha utiliza instaladores não assinados, observados em variantes .NET e Golang, que implantam uma extensão maliciosa disfarçada de um utilitário benigno chamado ‘Google Notes’. Essa extensão age como um clipper, interceptando e manipulando endereços de carteiras copiadas para a área de transferência, redirecionando os fundos para carteiras controladas por atacantes. A técnica EtherHiding é utilizada para atualizar detalhes do servidor de comando e controle (C2) através da blockchain, permitindo que os atacantes mudem facilmente o domínio sem precisar redeployar o malware. A instalação da extensão é feita de forma clandestina, alterando arquivos de configuração protegidos dos navegadores, como Chrome e Edge, e requer que o modo desenvolvedor esteja ativado, o que pode ser conseguido por meio de engenharia social. A campanha já afetou usuários em vários países, incluindo Brasil e Índia, e representa uma evolução nas táticas de roubo de criptomoedas, com um mapeamento de endereços por vítima sendo uma das inovações mais preocupantes.

Ameaça de mineração de criptomoedas explora vulnerabilidade do Langflow

Pesquisadores da Trend Micro identificaram uma nova campanha de ataque que explora uma vulnerabilidade crítica no Langflow, especificamente a CVE-2026-33017, que permite execução remota de código (RCE) sem autenticação. O ataque, que ocorreu entre 27 de março e 15 de abril de 2026, utiliza um simples código Python para baixar e executar um minerador de criptomoedas Monero. O malware não apenas desativa processos concorrentes de mineração, mas também remove logs do sistema e altera atributos de arquivos para garantir sua persistência. Além disso, ele se propaga para outros sistemas através de chaves SSH reutilizadas, transformando uma instância exposta do Langflow em um ponto de entrada para compromissos mais amplos. Essa situação destaca a crescente exploração de endpoints de aplicações de inteligência artificial como vetores de ataque em ambientes corporativos. A vulnerabilidade do Langflow, que já foi alvo de outras explorações, como a distribuição do malware Flodrix, evidencia a necessidade urgente de monitoramento e mitigação em sistemas que utilizam essa tecnologia.

Extensão maliciosa se disfarça de Perplexity e coleta dados de buscas

Recentemente, a Microsoft identificou uma extensão maliciosa do Chrome que se apresentava como o motor de busca de IA Perplexity. Nomeada ‘Search for perplexity ai’, a extensão logava silenciosamente as pesquisas dos usuários, redirecionando cada consulta através de um servidor controlado por atacantes antes de apresentar os resultados reais. A extensão utilizava um domínio semelhante ao verdadeiro, perplexity-ai[.]online, para enganar os usuários. Ao ser instalada, ela se tornava o mecanismo de busca padrão do navegador, interceptando não apenas as pesquisas, mas também cada caractere digitado na barra de endereços. Embora a Microsoft não tenha encontrado evidências de roubo de senhas, a extensão tinha acesso excessivo, coletando dados como endereços IP e cabeçalhos de navegador. Após a divulgação responsável, o Google removeu a extensão da loja. A Microsoft alerta que essa prática se alinha a um padrão crescente de extensões maliciosas que se aproveitam da marca de IA para capturar dados. Para mitigar riscos, recomenda-se que as empresas permitam apenas extensões aprovadas e monitorem alterações nas configurações de busca e permissões de extensões.

Hackers exploram vulnerabilidade crítica no SimpleHelp para implantar malware

Hackers estão aproveitando uma vulnerabilidade crítica (CVE-2026-48558) recentemente divulgada no SimpleHelp, uma plataforma utilizada para monitoramento e gerenciamento remoto, para implantar o Djinn Stealer, um malware de roubo de informações que atinge sistemas operacionais como Windows, macOS e Linux. A falha permite a criação de contas de técnico altamente privilegiadas sem autenticação, afetando cerca de 1.000 servidores expostos online. A empresa de segurança Blackpoint investigou um incidente onde um ator malicioso explorou essa vulnerabilidade para estabelecer uma sessão autenticada em um servidor SimpleHelp, utilizando o malware TaskWeaver para instalar o Djinn Stealer. Este último é projetado para coletar dados sensíveis, incluindo credenciais de ferramentas de desenvolvimento de IA, chaves SSH, e informações de carteiras de criptomoedas. Os pesquisadores alertam que a exploração ativa dessa vulnerabilidade deve levar os administradores de sistemas a priorizar atualizações e a invalidar sessões de técnicos não reconhecidas, além de rotacionar credenciais comprometidas.

Grupo de espionagem Mustang Panda ataca governo indiano com malware

O grupo de espionagem alinhado à China, Mustang Panda, está conduzindo campanhas contra o governo indiano e alvos do setor de hidrelétricas, utilizando novos malwares e uma plataforma de nuvem legítima como canal de comando. A Acronis Threat Research Unit identificou comprometimentos ativos nas redes do governo indiano, incluindo máquinas de funcionários administrativos seniores, e colaborou com o CERT-In para notificação e limpeza. O malware explora o Zoho WorkDrive, um serviço de armazenamento em nuvem comum no setor governamental da Índia, para enviar comandos e exfiltrar dados, disfarçando o tráfego como atividade normal da nuvem. Entre as ferramentas identificadas estão o SHARDLOADER, que carrega um DLL malicioso, o MINIRECON, uma variante do backdoor Toneshell, e o ZOHOMURK, que utiliza credenciais OAuth do Zoho para operar uma conta controlada pelo atacante. As campanhas foram entregues via spear-phishing, com temas relacionados a propostas de cooperação em hidrelétricas e memorandos entre instituições indianas e taiwanesas. O objetivo é obter informações sobre os planos hidrelétricos da Índia e suas relações de defesa com Taiwan. A Acronis recomenda que organizações governamentais e do setor energético fiquem atentas a iscas geopolíticas e ao uso indevido de serviços em nuvem.

Microsoft desmantela operação de extensão maliciosa no Edge

A Microsoft encerrou uma operação de extensão maliciosa no Edge Add-ons store, conhecida como StegoAd, que utilizava esteganografia para ocultar códigos maliciosos em arquivos de imagem e fonte. Essa operação, que se estende desde 2021, envolveu 119 extensões, incluindo bloqueadores de anúncios e tradutores, que foram instaladas por até 2,6 milhões de usuários. O código malicioso permanecia inativo até que a extensão superasse verificações de evasão, permitindo sua permanência na loja por anos. A técnica de esteganografia permitiu que o código fosse escondido em arquivos PNG e WOFF2, evitando a detecção por scanners. Além de fraudes publicitárias, a operação também visava o roubo de credenciais, incluindo logins do Google e do WordPress. A Microsoft removeu todas as extensões e suspendeu mais de 90 contas de desenvolvedores associadas. Os usuários devem verificar suas extensões instaladas e alterar senhas de contas sensíveis, além de ativar autenticação em dois fatores para maior segurança.

Grupo APT russo Gamaredon intensifica ataques cibernéticos à Ucrânia

O grupo russo de ameaças persistentes avançadas (APT) Gamaredon tem ampliado seu arsenal de malware e intensificado suas campanhas de spear-phishing contra a Ucrânia ao longo de 2025. A empresa de cibersegurança ESET identificou 35 campanhas distintas, com foco em instituições governamentais e militares ucranianas. O objetivo principal do grupo é a exfiltração de informações sensíveis que possam ser utilizadas para apoiar os interesses russos na guerra em curso. As campanhas utilizam anexos maliciosos e técnicas de HTML smuggling para implantar downloaders HTA, que, por sua vez, instalam outros malwares, como o PteroSand. Além disso, o grupo explorou uma vulnerabilidade no WinRAR (CVE-2025-8088) para garantir a persistência do malware. Gamaredon também introduziu novas ferramentas PowerShell e aumentou sua dependência de serviços de terceiros para ocultar sua infraestrutura. Apesar de uma pausa operacional em janeiro, o grupo continuou a desenvolver e atualizar suas ferramentas, utilizando serviços legítimos para exfiltração de dados. A evolução das táticas do Gamaredon destaca a necessidade de vigilância contínua e atualização das defesas cibernéticas, especialmente em um cenário de conflito ativo.

Ataque de Cadeia de Suprimentos Utiliza Pacotes npm e Go para Roubo de Dados

Pesquisadores de cibersegurança descobriram pacotes npm e Go sequestrados que implantam um infostealer baseado em Python em sistemas Windows, Linux e macOS. O ataque, identificado pela JFrog, utiliza uma tarefa oculta do Visual Studio Code (VS Code) chamada ’eslint-check’, que é ativada automaticamente ao abrir a pasta do projeto. O malware se conecta a uma infraestrutura controlada por atacantes, lançando um backdoor Socket.io e, em seguida, um infostealer Python. Os pacotes npm afetados, ‘html-to-gutenberg’ e ‘fetch-page-assets’, foram enviados ao registro npm em 25 de maio de 2026 e já foram removidos. Além disso, 16 pacotes Go também foram comprometidos, com a maioria sendo pacotes legítimos que incluíam o malware. O infostealer é capaz de roubar credenciais de navegadores, carteiras de criptomoedas e informações de desenvolvedores. Os usuários que instalaram esses pacotes devem removê-los imediatamente e revisar suas credenciais. O ataque é atribuído a uma campanha conhecida como ‘Fake Font’, que visa desenvolvedores por meio de processos de entrevistas fraudulentos.

Campanha de ciberataque utiliza malware SharkLoader para espionagem

Uma nova campanha de ciberataque, identificada pela Kaspersky como StrikeShark, está utilizando um malware inédito chamado SharkLoader, que serve como carregador para implantar o Cobalt Strike Beacon em sistemas comprometidos. Os alvos incluem uma organização diplomática na Indonésia, entidades governamentais em Taiwan e empresas de desenvolvimento de software em diversos países, como Hong Kong, Colômbia e Sérvia. A campanha se destaca pela sua abrangência geográfica e diversidade de alvos, sem vínculos diretos a grupos de ameaças conhecidos. Os atacantes exploram vulnerabilidades conhecidas, como falhas no Exchange Server e no Openfire, para obter acesso inicial. Após a invasão, eles estabelecem persistência através de shells web e técnicas de hijacking de DLLs. Embora não haja evidências claras de exfiltração de dados, a natureza dos alvos sugere um possível interesse em espionagem cibernética. A utilização de ferramentas de código aberto e a exploração de aplicações públicas indicam que os atacantes podem estar visando sistemas vulneráveis de forma oportunista.

Grupo APT chinês utiliza backdoor TinyRCT em ataques cibernéticos

Um ator de ameaça persistente avançada (APT) de língua chinesa, identificado como CL-STA-1062, está vinculado a uma nova backdoor personalizada chamada TinyRCT, que tem como alvo entidades governamentais e infraestrutura crítica no Sudeste Asiático. A Palo Alto Networks, através da sua unidade Unit 42, observou que esse grupo tem se concentrado em empresas estatais nos setores de energia e governo desde março de 2022. O TinyRCT permite a execução de comandos arbitrários, exfiltração de arquivos e captura de tela, além de se autodeletar do sistema comprometido. Durante uma campanha em setembro de 2025, o grupo infiltrou uma entidade governamental e utilizou um web shell para extrair dados de um servidor MS SQL. A análise técnica revelou que os atacantes utilizam uma combinação de ferramentas, incluindo o TinyRCT, que estabelece comunicação com um servidor remoto e utiliza criptografia AES-128 para proteger os dados trocados. A atividade do CL-STA-1062 representa uma ameaça significativa à infraestrutura crítica da região, com potencial para se expandir para outros alvos estratégicos.

Grupo russo Turla utiliza backdoor STOCKSTAY em ataques cibernéticos

O grupo de ameaças patrocinado pelo Estado russo, conhecido como Turla, foi associado a um novo backdoor .NET chamado STOCKSTAY, que tem como alvo organizações governamentais e militares na Ucrânia, além de entidades ligadas à política externa italiana. O STOCKSTAY é um malware multifuncional que se comunica com seu servidor de comando e controle (C2) por meio de uma conexão WebSocket segura. O Google Threat Intelligence Group (GTIG) identificou que o STOCKSTAY compartilha semelhanças significativas com o Kazuar, um implante utilizado pelo grupo desde 2017. O malware é projetado para se disfarçar como ferramentas comuns, como visualizadores de PDF e utilitários de calculadora, e é composto por vários módulos que permitem a coleta de informações e a execução de comandos no sistema comprometido. As campanhas de distribuição do STOCKSTAY frequentemente utilizam iscas relacionadas a temas acadêmicos ou diplomáticos, visando organizações na Ucrânia e em outros países europeus. O GTIG observou que o STOCKSTAY foi utilizado em ataques que empregaram e-mails de phishing com arquivos maliciosos, explorando vulnerabilidades conhecidas, como a do WinRAR. A arquitetura do malware sugere que ele pode ter sido desenvolvido por uma equipe com experiência em operações cibernéticas, levantando preocupações sobre a segurança de sistemas críticos em várias nações.

Evolução de ataques à cadeia de suprimentos compromete pacotes npm

Pesquisadores em cibersegurança identificaram uma nova evolução dos ataques à cadeia de suprimentos, associada às famílias de malware Mini Shai-Hulud, Miasma e Hades, que comprometeram pacotes npm e se espalharam para o ecossistema Go. Os ataques recentes afetaram pacotes como LeoPlatform e RStreams, além de abusos em fluxos de trabalho do GitHub Actions e compromissos relacionados ao projeto Verana Blockchain. O objetivo principal é roubar credenciais de desenvolvedores e mantenedores, utilizando dados roubados para se infiltrar em repositórios e fluxos de trabalho confiáveis.

Novo malware macOS Gaslight confunde ferramentas de análise de IA

Um novo malware para macOS, denominado ‘Gaslight’, foi descoberto e tem como objetivo confundir ferramentas de análise de malware assistidas por inteligência artificial (IA). Desenvolvido por um ator de ameaça vinculado à Coreia do Norte, o malware apresenta uma funcionalidade de backdoor e roubo de informações, características comuns em malwares semelhantes. O que diferencia o ‘Gaslight’ é seu payload de 3,5 KB, que contém 38 mensagens falsas de ‘sistema’ embutidas diretamente no binário. Essas mensagens simulam logs de desenvolvedor, relatórios de falhas e alertas de programa, utilizando formatação Markdown para parecerem dados de análise legítimos. Exemplos incluem mensagens sobre expiração de tokens, falhas de conexão e vulnerabilidades de injeção SQL. O objetivo dessas mensagens enganosas é induzir as ferramentas de análise a duvidar da validade de suas próprias sessões, levando-as a abortar ou truncar a análise. Embora não tenha sido demonstrado que essa técnica consiga contornar plataformas de análise de malware baseadas em IA, os pesquisadores sugerem que os atores de ameaça estão experimentando métodos de anti-análise específicos para essas ferramentas. A descoberta destaca a evolução das táticas de malware e a necessidade de vigilância contínua por parte das equipes de segurança.

Novo backdoor Mistic é usado em ataques cibernéticos financeiros

Desde abril de 2026, um novo backdoor chamado Mistic tem sido utilizado em ataques cibernéticos direcionados a diversas organizações, incluindo setores de seguros, educação, TI e serviços profissionais. De acordo com a equipe de Threat Hunter da Symantec e Carbon Black, o Mistic, também conhecido como MLTBackdoor, está associado a um broker de acesso inicial (IAB) chamado KongTuke. Este backdoor é notável por operar em memória, sem deixar rastros no disco, e possui um mecanismo de autodestruição, características que permitem acesso furtivo e de longo prazo.

Malware Rust para macOS engana ferramentas de IA de análise

Um novo malware baseado em Rust, denominado Gaslight, foi descoberto como um implante e ladrão de informações para macOS. Este malware possui um recurso notável: um payload de injeção de prompt que engana ferramentas de inteligência artificial (IA) utilizadas por analistas de segurança, fazendo com que elas interrompam ou recusem a análise do artefato. Gaslight é atribuído a atores de ameaças alinhados à Coreia do Norte. O malware utiliza um canal de comando e controle (C2) baseado na API do Telegram, permitindo que o operador emita comandos e receba resultados. Entre os comandos disponíveis, destacam-se a execução de comandos de shell e a exfiltração de arquivos. Além disso, Gaslight incorpora um script Python codificado em Base64 que coleta dados sensíveis do sistema, como históricos de comandos do Terminal e informações do Keychain do macOS. O malware se destaca por não codificar informações sensíveis, como tokens do bot do Telegram, mas sim fornecê-las em tempo de execução, dificultando a captura de logs. A presença de mensagens de erro fabricadas visa confundir agentes de segurança, tornando a detecção mais difícil. Essa nova ameaça representa um risco significativo para usuários de macOS, especialmente em ambientes corporativos.

Microsoft e Europol desmantelam operações de malware Amadey e StealC

A Microsoft, em colaboração com a Europol e parceiros internacionais, desmantelou a infraestrutura utilizada pelas operações de malware Amadey e StealC durante a Operação Endgame. Essa ação conjunta envolveu autoridades de vários países e resultou na interrupção de 326 servidores e 142 domínios associados a essas famílias de malware. Além disso, foram identificados mais de €41 milhões (cerca de $47 milhões) em criptomoedas ligadas a atividades criminosas e a recuperação de aproximadamente 27 milhões de credenciais roubadas de mais de 385 mil sistemas comprometidos. A operação também focou no malware SocGholish, que infecta usuários por meio de sites comprometidos que exibem falsos avisos de atualização de navegador. A Amadey é utilizada para obter acesso inicial a dispositivos, enquanto o StealC é responsável pelo roubo de credenciais e informações sensíveis. A ação foi coordenada por agências de segurança de países como Canadá, Alemanha e Estados Unidos, com o suporte de empresas de segurança cibernética como Microsoft, ESET e IBM X-Force. Apesar do sucesso da operação, a Europol alerta que, sem prisões, os criminosos podem rapidamente reconstruir suas infraestruturas para novos ataques.

Operação conjunta desmantela infraestrutura de cibercrime na Europa e EUA

Uma operação coordenada de aplicação da lei, em parceria com empresas do setor privado como Bitdefender, ESET e Microsoft, resultou na desarticulação de infraestruturas criminosas associadas aos malwares Amadey e StealC. O objetivo principal foi interromper as ’linhas de montagem’ utilizadas por cibercriminosos para lançar ataques de ransomware e fraudes financeiras. Durante a ação, que durou duas semanas, foram identificados e restritos ativos de criptomoeda de origem criminosa avaliados em mais de 47 milhões de dólares, além da recuperação de 27 milhões de credenciais de login roubadas. A operação também desmantelou 326 servidores e 142 domínios relacionados a essas ameaças. O malware Amadey, ativo desde 2018, é um loader que facilita a introdução de outros malwares, enquanto o StealC, que surgiu em 2023, é um infostealer que coleta informações sensíveis de usuários. A colaboração entre o setor público e privado foi destacada como fundamental para o sucesso da operação, que representa um passo significativo na luta contra o cibercrime em escala global.

Novo backdoor Mistic ataca setores financeiros e educacionais

Um novo backdoor chamado Mistic foi identificado em ataques cibernéticos motivados financeiramente, visando organizações nos setores de seguros, educação, TI e serviços profissionais. Acredita-se que o malware esteja vinculado ao grupo KongTuke/Woodgnat, ativo desde 2024, que se especializa em comprometer redes corporativas e vender acesso a grupos de ransomware. Pesquisadores da Symantec relataram que o Mistic tem sido utilizado em intrusões desde abril de 2024. O ataque começa com a execução de um arquivo legítimo, MpExtMs.exe, que carrega uma DLL maliciosa, version.dll, que por sua vez carrega o Mistic. Este malware é projetado para operar de forma furtiva, permitindo que os atacantes mantenham um acesso persistente nas redes comprometidas. Entre suas capacidades estão a manipulação de arquivos, execução de código na memória e a possibilidade de se autodestruir. A análise sugere que o Mistic é uma ferramenta customizada, refletindo uma tendência crescente de uso de ferramentas específicas em ataques de ransomware. As empresas devem estar atentas a essa nova ameaça e considerar a implementação de medidas de segurança robustas para proteger suas redes.

Campanha ClickFix instala malware em macOS via comandos do Terminal

Uma nova campanha de cibersegurança, chamada ClickFix, está utilizando comandos do Terminal para baixar, montar e executar silenciosamente malware que rouba informações de dispositivos macOS. O malware em questão é o Atomic macOS Stealer (AMOS), que tem como alvo credenciais de navegadores, dados de carteiras de criptomoedas, informações do Keychain, dados de aplicativos de mensagens e documentos do usuário. A campanha foi descoberta pela Palo Alto Networks e começa com uma página falsa de CAPTCHA que induz os usuários a abrir o Terminal e colar um comando malicioso. Esse comando baixa um arquivo DMG de um servidor controlado pelo atacante, monta-o silenciosamente e executa automaticamente o aplicativo malicioso contido nele. O AMOS é projetado para roubar dados de vários navegadores baseados em Chromium e Firefox, além de informações de carteiras de criptomoedas e dados de aplicativos como Telegram e Discord. Os dados coletados são armazenados em um arquivo ZIP e enviados para o servidor do atacante. Os especialistas alertam que os usuários devem ser cautelosos ao executar comandos do Terminal, especialmente quando solicitados por páginas da web.