Malware

Um estudo da Surfshark revelou que muitos aplicativos de compartilhamento de arquivos gratuitos, como Dropbox, Box e WeTransfer, não oferecem proteção adequada contra malware. Box e WeTransfer disponibilizam a verificação de vírus apenas em planos pagos, enquanto Dropbox e iCloud não realizam nenhuma verificação, dependendo da segurança dos dispositivos Apple. Isso representa um risco significativo para os usuários, que podem inadvertidamente baixar arquivos infectados. A análise destaca que, embora esses serviços sejam amplamente utilizados, a segurança não é uma prioridade, especialmente nas versões gratuitas. A Surfshark alerta que a confiança excessiva nesses aplicativos pode comprometer a segurança dos dados dos usuários. Além disso, a discussão sobre a regulamentação no Reino Unido, que visa aumentar a responsabilidade das plataformas de compartilhamento de arquivos, levanta preocupações sobre privacidade e vigilância em massa. A utilização de antivírus e VPNs é recomendada para mitigar esses riscos. Por fim, apenas Google Drive e OneDrive oferecem verificação de vírus para usuários gratuitos, mas com limitações. Essa situação exige que os usuários façam escolhas informadas sobre os riscos que estão dispostos a correr ao compartilhar arquivos online.

Pesquisadores da Fable Security identificaram uma nova ameaça que utiliza uma versão falsa do ChatGPT Atlas para roubar senhas de usuários em navegadores. Denominada ‘ataque ClickFix’, essa campanha de cibercrime cresceu 517% recentemente, explorando um truque de ‘copia e cola’ para disseminar instaladores maliciosos. Os hackers criam sites falsos que imitam o layout e o design do verdadeiro ChatGPT Atlas, enganando usuários desatentos. Ao acessar o instalador falso, a vítima é instruída a copiar um comando e colá-lo em um terminal, como o PowerShell, o que ativa um script que solicita repetidamente a senha do usuário. Esse método permite que os criminosos escalem privilégios e obtenham acesso total ao dispositivo, coletando credenciais sensíveis. A situação é alarmante, pois os hackers conseguem contornar ferramentas de segurança robustas. Especialistas recomendam que os usuários sejam cautelosos ao instalar ferramentas e evitem executar comandos de fontes suspeitas.

Duas novas campanhas de malware estão ameaçando usuários brasileiros, com foco em um trojan bancário que ataca o WhatsApp e um malware que compromete pagamentos NFC em dispositivos Android. Pesquisadores da Trend Micro identificaram que o grupo Water Saci está por trás do trojan, que se espalha através de arquivos HTA e PDFs maliciosos. Os cibercriminosos utilizam contatos confiáveis para enganar as vítimas, aumentando a probabilidade de que elas baixem os arquivos infectados. Uma vez instalado, o trojan rouba informações sensíveis, como senhas e dados de cartões de crédito. Além disso, o malware RelayNFC, que afeta pagamentos NFC, permite que hackers realizem transações fraudulentas ao interceptar dados do cartão da vítima quando este é encostado no dispositivo. Essa nova era de ameaças digitais no Brasil destaca a vulnerabilidade dos usuários e a necessidade de medidas de segurança mais robustas, especialmente em plataformas amplamente utilizadas como o WhatsApp.

Um grupo de hackers iranianos conhecido como MuddyWater tem chamado a atenção de especialistas em cibersegurança por utilizar uma técnica inspirada no jogo da cobrinha, popular nos anos 90, para realizar ataques de espionagem. Recentemente, o grupo tem atacado organizações israelenses com um novo malware chamado Fooder, que se destaca por sua capacidade de camuflagem. Essa técnica permite que o malware permaneça inativo por um longo período após a infecção, evitando a detecção até que o sistema seja completamente analisado. O Fooder se ativa apenas após uma inspeção detalhada, alterando seu comportamento conforme as ações do usuário. Historicamente, o MuddyWater tem utilizado e-mails de spear-phishing com anexos maliciosos, mas a nova abordagem demonstra uma evolução em suas táticas, tornando-se mais sofisticada e difícil de rastrear. A detecção dessa técnica levanta preocupações sobre a capacidade do grupo de esconder suas atividades, o que pode representar um risco significativo para a segurança digital de organizações em todo o mundo.

Um advogado de direitos humanos da província de Balochistan, no Paquistão, foi alvo de um ataque de spyware chamado Predator, desenvolvido pela empresa Intellexa. Este é o primeiro caso documentado de um membro da sociedade civil paquistanesa sendo atacado por essa ferramenta, que é capaz de coletar dados sensíveis de dispositivos Android e iOS sem o conhecimento do usuário. O ataque foi realizado através de um link malicioso enviado via WhatsApp, que, ao ser clicado, explorou vulnerabilidades conhecidas, como CVE-2025-48543 e CVE-2023-41993, para instalar o spyware. O Predator é semelhante ao Pegasus, da NSO Group, e é comercializado sob diferentes nomes, incluindo Helios e Nova. A Intellexa foi sancionada pelos EUA por suas práticas que comprometem as liberdades civis. O relatório da Anistia Internacional, que inclui colaborações com veículos de imprensa, revela que a empresa pode ter acesso remoto aos sistemas de vigilância de seus clientes, levantando preocupações sobre a responsabilidade em casos de abuso de direitos humanos. O uso de vetores de ataque sofisticados, como injeções de rede e anúncios maliciosos, destaca a crescente demanda por ferramentas de spyware em várias regiões, incluindo a África.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre um backdoor chamado BRICKSTORM, utilizado por grupos de hackers patrocinados pelo Estado da República Popular da China. Este malware, desenvolvido em Golang, é projetado para ambientes VMware vSphere e Windows, permitindo acesso remoto e persistente aos sistemas comprometidos. BRICKSTORM é capaz de executar uma variedade de funções, incluindo manipulação de arquivos e comunicação encoberta através de protocolos como HTTPS e DNS-over-HTTPS.

O grupo de cibercriminosos conhecido como Silver Fox está realizando uma operação de bandeira falsa, imitando um grupo de ameaças russo em ataques direcionados a organizações na China. Desde novembro de 2025, a campanha de envenenamento de SEO utiliza iscas do Microsoft Teams para enganar usuários desavisados a baixarem um arquivo malicioso que instala o malware ValleyRAT, associado a grupos de cibercrime chineses. A pesquisa da ReliaQuest destaca que a campanha visa usuários que falam chinês, incluindo aqueles em organizações ocidentais na China, utilizando um loader modificado do ValleyRAT com elementos cirílicos para confundir a atribuição. O ValleyRAT permite controle remoto de sistemas infectados, exfiltração de dados sensíveis e execução de comandos arbitrários. A campanha redireciona usuários para um site falso que oferece um suposto software do Teams, mas na verdade baixa um arquivo ZIP malicioso. O malware, uma versão trojanizada do Teams, manipula processos do sistema e estabelece conexões com servidores externos para controle remoto. Os objetivos do Silver Fox incluem ganho financeiro e coleta de inteligência sensível, representando riscos imediatos como vazamentos de dados e perdas financeiras para as organizações-alvo.

O SmartTube, um aplicativo de código aberto amplamente utilizado para acessar o YouTube em TVs Android, foi recentemente comprometido por cibercriminosos que conseguiram roubar a chave de assinatura do aplicativo. Isso resultou na distribuição de versões alteradas do app, que continham malware. O desenvolvedor, Yuliskov, já removeu as versões afetadas e lançou uma nova versão beta com uma chave de assinatura atualizada. O malware, localizado na biblioteca libalphasdk.so, coleta informações do dispositivo, como aplicativos instalados e endereço IP, mas, segundo especialistas, não houve vazamento de dados de contas. O Google Play Protect conseguiu bloquear a instalação do malware em muitos dispositivos antes que os usuários percebessem o problema. Para os usuários do SmartTube, é recomendado desinstalar as versões comprometidas e instalar apenas a versão 30.56, que é considerada segura. Essa versão pode ser encontrada no GitHub, já que o aplicativo não está mais disponível na Play Store. O uso de versões não oficiais ou aplicativos que prometem consertar o problema deve ser evitado, pois isso pode aumentar os riscos de segurança.

Um novo ataque cibernético, atribuído ao grupo GoldFactory, está afetando usuários móveis na Indonésia, Tailândia e Vietnã. Desde outubro de 2024, os criminosos têm distribuído aplicativos bancários modificados que atuam como vetores para malware no sistema Android. O grupo, que opera desde junho de 2023, utiliza táticas de engenharia social, como se passar por serviços governamentais, para induzir as vítimas a instalar o malware. Mais de 300 amostras de aplicativos alterados foram identificadas, resultando em cerca de 11.000 infecções. Os atacantes utilizam chamadas telefônicas para persuadir as vítimas a baixar aplicativos maliciosos através de links enviados por aplicativos de mensagens. O malware injetado permite o controle remoto dos dispositivos, ocultando funcionalidades e contornando medidas de segurança. Além disso, uma nova variante de malware, chamada Gigaflower, foi descoberta, prometendo funcionalidades ainda mais sofisticadas. A mudança na abordagem do grupo, que agora orienta as vítimas a usar dispositivos Android emprestados, sugere uma adaptação às rigorosas medidas de segurança da Apple. Este cenário destaca a necessidade urgente de vigilância e proteção contra ameaças emergentes no setor financeiro.

Pesquisadores da Koi Security descobriram a campanha de malware chamada ShadyPanda, que afetou mais de 4,3 milhões de usuários dos navegadores Google Chrome e Microsoft Edge ao longo de sete anos. A operação, iniciada em 2018, explorou extensões de produtividade que pareciam legítimas, permitindo que os criminosos injetassem códigos maliciosos e realizassem fraudes. Inicialmente, a ShadyPanda utilizava extensões de gestão de tarefas para enganar os usuários, mas evoluiu para um controle ativo dos navegadores, utilizando uma extensão chamada Infinity V+, que sequestrava dados de pesquisa e exfiltrava cookies. Apesar de o Google ter removido as extensões comprometidas, cinco delas ainda permanecem ativas no Edge, com uma delas, chamada WeTab 新标签页, possuindo cerca de 3 milhões de instalações e coletando dados dos usuários. A campanha continua a operar por meio de atualizações automáticas, o que a torna ainda mais difícil de detectar e mitigar.

Recentemente, a segurança da App Store da Apple foi colocada em xeque após a descoberta de aplicativos fraudulentos que imitam produtos de inteligência artificial da Google e OpenAI. O desenvolvedor Neural Techlabs tem sido identificado como responsável pela publicação repetida de aplicativos que utilizam logotipos, nomes e interfaces semelhantes aos softwares legítimos, como o Google Gemini e o ChatGPT. Apesar de algumas dessas aplicações terem sido removidas anteriormente por infrações de propriedade intelectual, novas versões continuam a surgir, evidenciando falhas no processo de revisão da Apple. Os aplicativos, como ‘AI Chat Bot for Google Gemini’, criam confusão entre os usuários e podem expô-los a riscos de segurança, como a interação com informações sensíveis. A persistência dessas violações levanta preocupações sobre a eficácia das medidas de segurança da Apple e a necessidade de os usuários verificarem as credenciais dos desenvolvedores antes de baixar aplicativos. A situação destaca a vulnerabilidade do ecossistema da App Store e a importância de uma vigilância contínua contra fraudes digitais.

O grupo de cibercriminosos conhecido como Water Saci está aprimorando suas táticas de ataque, utilizando uma cadeia de infecção sofisticada que se espalha via WhatsApp. Recentemente, a ameaça se afastou do uso de PowerShell e adotou uma variante baseada em Python, permitindo a propagação de um trojan bancário através de arquivos HTA e PDFs. Os usuários recebem mensagens de contatos confiáveis, incentivando-os a abrir anexos maliciosos que iniciam a infecção. O novo método de ataque é caracterizado por uma estrutura de código orientada a objetos e melhor manuseio de erros, tornando a propagação mais rápida e resiliente. O malware é projetado para monitorar atividades bancárias, capturar dados sensíveis e contornar softwares de segurança. Além disso, o Water Saci pode ter utilizado ferramentas de inteligência artificial para converter scripts de PowerShell para Python, demonstrando um nível elevado de sofisticação. Essa campanha representa uma nova era de ameaças cibernéticas no Brasil, onde plataformas de mensagens populares são exploradas para disseminar malware em larga escala. Os especialistas alertam que a confiança dos usuários em canais de comunicação familiarizados é um vetor crítico para a propagação de ataques.

Um novo malware chamado ShadowV2, baseado na botnet Mirai, está atacando dispositivos de marcas como D-Link e TP-Link, explorando vulnerabilidades conhecidas. Pesquisadores da FortiGuard Labs identificaram que o malware se espalha por pelo menos oito falhas em equipamentos de Internet das Coisas (IoT), incluindo CVEs como CVE-2020-25506 e CVE-2024-10915. Apesar de algumas dessas falhas serem conhecidas, a D-Link não planeja corrigir as vulnerabilidades em seus dispositivos considerados ’end-of-life’. O ShadowV2 realiza ataques DDoS utilizando protocolos UDP, TCP e HTTP, e é controlado por servidores de comando e controle. Os ataques foram observados em diversos setores, incluindo governo e telecomunicações, afetando regiões da América do Sul, América do Norte, Europa e Ásia. A gravidade da situação é acentuada pela falta de atualizações em dispositivos vulneráveis, o que pode levar a um aumento na exploração dessas falhas por cibercriminosos.

Pesquisadores de cibersegurança identificaram um pacote Rust malicioso, denominado ’evm-units’, que visa sistemas operacionais Windows, macOS e Linux. O pacote foi disponibilizado no repositório crates.io em abril de 2025 e, em oito meses, acumulou mais de 7.000 downloads. Ele se disfarça como uma ferramenta auxiliar da Ethereum Virtual Machine (EVM) e possui funcionalidades maliciosas que permitem a execução silenciosa em máquinas de desenvolvedores. O pacote verifica a presença do processo ‘qhsafetray.exe’, associado ao antivírus Qihoo 360, e, dependendo do sistema operacional, baixa e executa um payload em segundo plano. No Linux, um script é salvo em /tmp/init; no macOS, um arquivo chamado init é executado; e no Windows, um script PowerShell é criado. A detecção do antivírus altera o fluxo de execução, permitindo que o código malicioso seja executado sem que o usuário perceba. Este incidente destaca a crescente preocupação com a segurança na cadeia de suprimentos de software, especialmente em um contexto onde o mercado de criptomoedas é alvo frequente de ataques.

Um novo malware para Android, denominado Albiriox, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso opera como um modelo MaaS (Malware as a Service) e é projetado para realizar fraudes em tempo real, utilizando dados bancários das vítimas. O Albiriox foi identificado em fóruns de cibercrime de língua russa e possui recursos avançados que permitem manipular a tela do dispositivo de forma automatizada e imperceptível.

O malware já possui uma lista pré-programada com mais de 400 aplicativos visados, principalmente voltados para finanças, como bancos e carteiras de criptomoedas. Desde sua detecção em setembro, o Albiriox tem evoluído, utilizando táticas de phishing para infectar dispositivos, como o envio de mensagens SMS com links encurtados que redirecionam para aplicativos falsos. Uma vez instalado, o malware consegue controlar o dispositivo em tempo real, coletando informações sensíveis e burlando métodos tradicionais de autenticação.

Pesquisadores da Unit 42, da Palo Alto Networks, alertam sobre o uso de Grandes Modelos de Linguagem (LLMs) por cibercriminosos. Ferramentas como WormGPT 4 e KawaiiGPT estão sendo utilizadas para facilitar a criação de malwares e ataques cibernéticos. O WormGPT, que ressurgiu em sua quarta versão, permite que hackers, mesmo sem experiência, desenvolvam códigos de ransomware e mensagens de phishing. Por exemplo, foi solicitado ao WormGPT que criasse um código para encriptar arquivos PDF em sistemas Windows, resultando em um script PowerShell que utiliza o algoritmo AES-256. Já o KawaiiGPT, uma alternativa comunitária, pode gerar mensagens de spear-phishing e scripts para movimentação lateral em sistemas, demonstrando a facilidade com que cibercriminosos podem automatizar ataques. Ambas as LLMs têm atraído a atenção de hackers, com comunidades ativas no Telegram, o que torna a situação ainda mais preocupante para a cibersegurança. A análise indica que o uso dessas ferramentas não é mais uma ameaça teórica, mas uma realidade crescente, exigindo atenção redobrada das empresas para proteger seus dados e sistemas.

A GreyNoise, empresa de cibersegurança, lançou uma ferramenta gratuita chamada GreyNoise IP Check, que permite aos usuários verificar se seus endereços IP estão conectados a botnets. Uma botnet é uma rede de dispositivos infectados por malware, controlados remotamente por cibercriminosos, muitas vezes sem o conhecimento dos usuários. A ferramenta oferece três resultados: ‘Clean’ (Limpo), indicando que não há atividade maliciosa; ‘Malicious/Suspicious’ (Maliciosa/Suspeita), que sugere investigar dispositivos conectados; e ‘Common Business Service’ (Serviço Comercial Padrão), que indica que o IP está associado a uma VPN ou rede corporativa. Além disso, a ferramenta fornece um histórico de 90 dias do endereço IP, ajudando a identificar quando a infecção ocorreu. Dispositivos infectados podem ser utilizados para ataques DDoS, phishing e fraudes publicitárias, geralmente devido à falta de atualizações de segurança. Especialistas recomendam que os usuários mantenham seus sistemas atualizados e desativem o acesso remoto quando não necessário.

Pesquisadores de cibersegurança revelaram a existência de um pacote npm chamado eslint-plugin-unicorn-ts-2, que busca influenciar scanners de segurança impulsionados por inteligência artificial (IA). O pacote, que se apresenta como uma extensão do popular plugin ESLint para TypeScript, foi carregado em fevereiro de 2024 e já foi baixado quase 19 mil vezes. Uma análise da Koi Security identificou que o pacote contém um prompt que sugere que o código é legítimo e testado em um ambiente seguro, embora essa string não afete a funcionalidade do pacote. O código malicioso, introduzido na versão 1.1.3, possui um hook pós-instalação que captura variáveis de ambiente, como chaves de API e credenciais, e as exfiltra para um webhook. Essa abordagem reflete uma nova tática de cibercriminosos que buscam manipular ferramentas de análise baseadas em IA, além de explorar um mercado subterrâneo de modelos de linguagem maliciosos. Apesar das limitações desses modelos, como a geração de código incorreto, eles tornam o cibercrime mais acessível a atacantes inexperientes, permitindo ataques mais sofisticados em larga escala.

A campanha de cibersegurança conhecida como GlassWorm voltou a atacar, infiltrando 24 extensões maliciosas no Microsoft Visual Studio Marketplace e Open VSX. Essas extensões se disfarçam de ferramentas populares para desenvolvedores, como Flutter e React, e têm como objetivo roubar credenciais do GitHub, npm e Open VSX, além de drenar ativos de criptomoedas de diversas carteiras. A GlassWorm, que utiliza a blockchain Solana para controle de comando e controle (C2), foi documentada pela primeira vez em outubro de 2025 e já causou sérios danos ao comprometer pacotes e extensões adicionais, espalhando o malware de forma semelhante a um verme. A última onda de ataques, identificada por John Tuckner da Secure Annex, envolveu a manipulação de contagens de downloads para enganar desenvolvedores. As extensões maliciosas contêm implantes em Rust que visam sistemas Windows e macOS, permitindo que os atacantes baixem cargas úteis adicionais. A situação é crítica, pois muitos desenvolvedores podem ser facilmente enganados por essas extensões, colocando suas máquinas e dados em risco.

Um ator de ameaças conhecido como ShadyPanda está vinculado a uma campanha de spyware que se estende por sete anos, envolvendo extensões de navegador que acumulam mais de 4,3 milhões de instalações. De acordo com um relatório da Koi Security, cinco dessas extensões, inicialmente legítimas, foram alteradas para executar código malicioso em 2024, resultando em 300 mil instalações. Essas extensões agora realizam execução remota de código, monitorando visitas a sites, exfiltrando histórico de navegação e coletando impressões digitais do navegador. Uma das extensões, Clean Master, foi verificada pelo Google, o que permitiu que os atacantes expandissem sua base de usuários e emitisse atualizações maliciosas sem levantar suspeitas. Além disso, outras extensões coletam informações detalhadas sobre URLs visitados e interações do usuário, enviando dados para servidores na China. O ataque evoluiu de injeções de código a controle ativo do navegador, redirecionando consultas de pesquisa e coletando cookies. A Koi Security alerta que o mecanismo de atualização automática, destinado a proteger os usuários, se tornou um vetor de ataque. Os usuários são aconselhados a remover essas extensões imediatamente e a alterar suas credenciais por precaução.

Um alerta recente da Bitdefender Labs revelou uma nova ameaça para os gamers: arquivos maliciosos disfarçados de downloads gratuitos ou hackeados do jogo Battlefield 6. Esses arquivos, que prometem versões piratas do jogo, na verdade contêm malwares projetados para roubar informações pessoais e até controlar remotamente os computadores dos usuários. A pesquisa identificou instaladores e aplicativos que, ao invés de oferecer vantagens no jogo, servem apenas para roubar dados. Os cibercriminosos utilizam nomes que imitam grupos conhecidos de pirataria, como InsaneRamZes e RUNE, para dar credibilidade aos arquivos. Um dos malwares analisados, disfarçado como uma imagem ISO do jogo, permite que hackers assumam o controle do PC infectado. Outro arquivo, que se apresenta como um treinador, atua como um infostealer, focando em cookies de navegadores, carteiras de criptomoedas e tokens de plataformas como Discord. A Bitdefender recomenda que os jogadores adquiram jogos apenas de fontes confiáveis, como Steam e GOG, para evitar esses riscos.

O grupo de cibercriminosos conhecido como Tomiris tem sido associado a uma série de ataques direcionados a ministérios estrangeiros, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais. A Kaspersky destaca uma mudança nas táticas do grupo, que agora utiliza serviços públicos como Telegram e Discord como servidores de comando e controle (C2), misturando tráfego malicioso com atividades legítimas para evitar a detecção. Mais de 50% dos e-mails de spear-phishing utilizados na campanha continham nomes e textos em russo, indicando que o foco principal são usuários de língua russa, além de alvos em países da Ásia Central. Os ataques utilizam uma combinação de shells reversos, implantes personalizados e frameworks de C2 de código aberto, como Havoc e AdaptixC2. A evolução das táticas do Tomiris enfatiza a importância da furtividade e da persistência a longo prazo, visando especificamente organizações governamentais e intergovernamentais. A Kaspersky alerta que a campanha de 2025 do Tomiris utiliza módulos de malware multilíngues para aumentar a flexibilidade operacional e evitar detecções.

Um novo malware para Android, chamado Albiriox, foi identificado como parte de um modelo de malware-as-a-service (MaaS), oferecendo uma gama completa de funcionalidades para facilitar fraudes em dispositivos. O malware contém uma lista codificada de mais de 400 aplicativos, incluindo bancos e plataformas de criptomoedas. Os pesquisadores da Cleafy relataram que o Albiriox é distribuído por meio de aplicativos dropper, utilizando técnicas de engenharia social para enganar os usuários. Uma vez instalado, o malware solicita permissões para instalar outros aplicativos, permitindo o controle remoto do dispositivo. O Albiriox utiliza uma conexão TCP não criptografada para comunicação com o comando e controle (C2), permitindo que os atacantes executem comandos remotamente e capturem informações sensíveis. Além disso, o malware é capaz de realizar ataques de sobreposição em aplicativos bancários, roubando credenciais sem que os usuários percebam. A ameaça é particularmente relevante para usuários na Áustria, onde campanhas específicas foram observadas. A disseminação de ferramentas de cibercrime como o Albiriox representa um risco crescente para a segurança dos dispositivos móveis, especialmente em um cenário onde a fraude em dispositivos está se tornando cada vez mais sofisticada.

A campanha Contagious Interview, atribuída a atores de ameaça da Coreia do Norte, continua a inundar o registro npm com pacotes maliciosos, totalizando 197 novos pacotes desde o mês passado. Esses pacotes, que já foram baixados mais de 31.000 vezes, têm como objetivo entregar uma variante do malware OtterCookie, que combina características de versões anteriores. Entre os pacotes identificados estão ‘bcryptjs-node’, ‘cross-sessions’ e ‘webpack-loadcss’. O malware, ao ser executado, tenta evitar ambientes de sandbox e máquinas virtuais, além de estabelecer um canal de comando e controle (C2) para permitir que os atacantes tenham acesso remoto ao sistema comprometido. As capacidades incluem roubo de credenciais, captura de telas e registro de teclas. A campanha também se destaca por utilizar sites falsos de avaliação que disfarçam a entrega de outro malware, o GolangGhost, sob a aparência de resolver problemas de câmera ou microfone. Essa abordagem inovadora visa comprometer indivíduos através de processos de recrutamento fraudulentos, tornando a aplicação para empregos uma arma. A análise revela que a URL de C2 é codificada e que a conta do GitHub utilizada para a entrega do malware não está mais acessível.

O grupo de hackers conhecido como Bloody Wolf tem sido responsável por uma campanha de ataques cibernéticos que visa o Quirguistão desde junho de 2025, com a intenção de implantar o NetSupport RAT, um software de acesso remoto. De acordo com um relatório da Group-IB, a atividade do grupo se expandiu para o Uzbequistão, afetando setores como finanças, governo e tecnologia da informação. Os atacantes utilizam engenharia social, se passando pelo Ministério da Justiça do Quirguistão, enviando documentos PDF que contêm links maliciosos para arquivos Java Archive (JAR). Esses arquivos são projetados para instalar o NetSupport RAT, permitindo que os hackers mantenham controle sobre os sistemas comprometidos. A campanha no Uzbequistão é notável por implementar restrições geográficas, redirecionando solicitações de fora do país para um site legítimo, enquanto usuários internos são direcionados para o download do malware. A utilização de ferramentas de baixo custo e a exploração da confiança em instituições governamentais têm permitido ao Bloody Wolf operar com eficácia na região da Ásia Central.

Pesquisadores de segurança da Huntress identificaram uma nova tática do malware ClickFix, que utiliza esteganografia para esconder códigos maliciosos em imagens PNG. Os cibercriminosos imitam atualizações críticas do Windows para enganar os usuários, que precisam copiar e colar comandos no prompt de comando para ativar o malware. Essa variante do ClickFix, que também inclui infostealers como LummaC2 e Rhadamantys, foi observada pela primeira vez em outubro de 2025. O ataque envolve a execução de código JavaScript através do binário nativo do Windows, mshta, e utiliza PowerShell e assembly .NET para extrair o payload malicioso. Apesar de parte da infraestrutura hacker ter sido desmantelada em uma operação em novembro, domínios falsos de atualização do Windows ainda estão ativos. Para se proteger, a Huntress recomenda monitorar processos suspeitos e desconfiar de comandos desconhecidos. A situação destaca a necessidade de vigilância constante contra técnicas de engenharia social cada vez mais sofisticadas.

A Agência de Cibersegurança e Infraestrutura de Segurança dos EUA (CISA) emitiu um alerta sobre o aumento de ataques cibernéticos utilizando spyware e trojans de acesso remoto (RAT) direcionados a usuários de aplicativos de mensagens como WhatsApp e Signal. Os cibercriminosos empregam técnicas de engenharia social para instalar spyware nos dispositivos, permitindo acesso não autorizado e o roubo de dados sensíveis, incluindo informações pessoais e financeiras.

Desde o início do ano, diversas campanhas de spyware foram identificadas, destacando-se cinco por sua escala e sofisticação. Entre elas, uma campanha que atacou o Signal, atribuída a hackers russos, e outra que utilizou os spywares ProSpy e ToSpy para invadir dispositivos no Oriente Médio. Além disso, uma campanha chamada ClayRat visou usuários na Rússia através de phishing, enquanto outra explorou falhas de segurança em dispositivos iOS e Samsung para coletar dados de usuários do WhatsApp.

Na última semana, o cenário de cibersegurança foi marcado por uma série de incidentes e inovações em fraudes digitais. O botnet ShadowV2, baseado no Mirai, voltou a atacar dispositivos IoT, explorando vulnerabilidades conhecidas para formar uma rede de dispositivos comprometidos, com o objetivo de realizar ataques DDoS. Além disso, a Singapura implementou novas regras para bloquear mensagens fraudulentas que se passam por agências governamentais, visando reduzir o aumento de golpes online. O projeto Tor anunciou uma atualização significativa em seu algoritmo de criptografia, aumentando a segurança da rede contra ataques ativos. Em um relatório alarmante, a Kaspersky identificou cerca de 6,4 milhões de ataques de phishing, com foco em usuários de lojas online e sistemas de pagamento, especialmente durante a temporada de compras de 2025. Por fim, a NCA do Reino Unido desmantelou uma rede de lavagem de dinheiro que facilitava a evasão de sanções russas, destacando a interconexão entre cibercrime e crimes financeiros. Esses eventos ressaltam a necessidade urgente de fortalecer as defesas digitais e a vigilância contra novas táticas de cibercriminosos.

Pesquisadores da Certo Software identificaram um novo spyware para Android chamado RadzaRat, que também atua como um trojan de acesso remoto (RAT), permitindo que hackers tenham controle total sobre os dispositivos infectados. Disfarçado como um gerenciador de arquivos, o aplicativo malicioso não é detectado por nenhum dos 66 antivírus testados, o que o torna extremamente perigoso. O RadzaRat é capaz de registrar tudo que o usuário digita (keylogging), possibilitando o roubo de informações sensíveis, como senhas e dados de cartão de crédito.

Um novo ataque de cadeia de suprimentos, conhecido como Shai-Hulud v2, comprometeu mais de 830 pacotes no registro npm e se espalhou para o ecossistema Maven. A equipe de pesquisa Socket identificou um pacote no Maven Central, ‘org.mvnpm:posthog-node:4.18.1’, que contém componentes maliciosos semelhantes aos associados ao ataque original. O ataque visa roubar dados sensíveis, como chaves de API e credenciais de nuvem, e se tornou mais furtivo e destrutivo. Os atacantes conseguiram acessar contas de mantenedores do npm e publicar versões trojanizadas de pacotes, afetando mais de 28.000 repositórios. A vulnerabilidade explorada está relacionada a configurações inadequadas em workflows do GitHub Actions, permitindo que código malicioso seja executado. A campanha já vazou centenas de tokens de acesso do GitHub e credenciais de serviços como AWS e Google Cloud. Especialistas recomendam que os usuários rotacionem tokens, auditem dependências e reforcem ambientes de desenvolvimento com acesso de menor privilégio e varredura de segredos.

O uso crescente de softwares maliciosos, como spywares e stalkerwares, em celulares de crianças e adolescentes no Brasil é motivo de preocupação. Um estudo da ESET, em parceria com a iniciativa Digipais, revelou que mais de 70% dos pais brasileiros já discutiram cibersegurança com seus filhos, mas a ameaça persiste. Esses aplicativos podem ser instalados silenciosamente, permitindo que cibercriminosos acessem câmeras, microfones e dados pessoais sem que os usuários percebam. Spywares visam roubar informações sensíveis, enquanto stalkerwares são usados para vigilância, muitas vezes disfarçados como aplicativos legítimos. Sinais de alerta incluem superaquecimento do dispositivo, consumo excessivo de bateria e a presença de aplicativos desconhecidos. Para mitigar esses riscos, especialistas recomendam o uso de antivírus confiáveis e a realização de varreduras regulares. Além disso, é crucial que os pais mantenham um diálogo aberto com os filhos sobre segurança digital, promovendo a confiança e o entendimento sobre o uso de ferramentas de monitoramento. A educação em cibersegurança deve ser uma prioridade, considerando o uso precoce de dispositivos móveis por crianças.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa chamada Crypto Copilot na Chrome Web Store, que é capaz de injetar transferências ocultas de Solana em transações de troca, desviando fundos para uma carteira controlada por atacantes. Publicada em 7 de maio de 2024, a extensão foi descrita como uma ferramenta para ’negociar criptomoedas diretamente no X com insights em tempo real’. No entanto, por trás de sua interface, ela adiciona uma transferência extra em cada troca de Solana, cobrando uma taxa mínima de 0.0013 SOL. O código malicioso é ofuscado para evitar detecção e se ativa durante as trocas na plataforma Raydium, um DEX na blockchain Solana. A extensão também se comunica com um backend para registrar carteiras conectadas e monitorar atividades dos usuários, mantendo os usuários desinformados sobre as taxas ocultas. A extensão ainda está disponível para download, apesar de seu comportamento fraudulento.

Um novo ataque cibernético envolvendo a família de malware RomCom foi identificado, visando uma empresa de engenharia civil baseada nos Estados Unidos. O ataque foi realizado através de um carregador JavaScript conhecido como SocGholish, que é utilizado para entregar o Mythic Agent, um trojan de acesso remoto (RAT). Este é o primeiro caso documentado em que um payload do RomCom foi distribuído via SocGholish, que é associado a um grupo de hackers russo, o GRU, e tem como alvo entidades ligadas à Ucrânia. O ataque tipicamente envolve a exibição de alertas falsos de atualização de navegador em sites legítimos, mas comprometidos, para induzir os usuários a baixar o código JavaScript malicioso. Embora o ataque tenha sido bloqueado antes de causar danos, ele demonstra o interesse contínuo do RomCom em atingir organizações que, mesmo indiretamente, estão conectadas à Ucrânia. A velocidade do ataque, que levou menos de 30 minutos desde a infecção até a entrega do carregador, destaca a eficácia e a ameaça representada por esse tipo de ataque, que pode afetar organizações em todo o mundo.

Cibercriminosos estão utilizando uma nova técnica para disseminar malware através de notificações push em navegadores, sem a necessidade de downloads. A campanha, identificada pela BlackFrog, utiliza uma plataforma chamada Matrix Push C2, que engana os usuários ao fazer parecer que estão aceitando notificações legítimas. Uma vez que a vítima se inscreve, os hackers conseguem monitorar suas atividades no navegador e redirecioná-las para sites maliciosos que imitam interfaces de empresas conhecidas, como Netflix e PayPal. O ataque é particularmente preocupante porque não requer a presença de arquivos maliciosos inicialmente, tornando-o mais difícil de detectar. O Matrix Push C2 é capaz de operar em diversos sistemas operacionais, incluindo Windows, Linux e Android, e permite que os criminosos tenham acesso em tempo real às informações sensíveis das vítimas. Essa abordagem direta ao navegador torna o ataque mais eficaz, já que não depende de e-mails de phishing aleatórios. Especialistas alertam que essa nova estratégia representa um risco significativo para a segurança dos usuários na internet.

Pesquisadores em cibersegurança revelaram uma nova campanha que utiliza arquivos da Blender Foundation para disseminar um malware conhecido como StealC V2. Esta operação, que está ativa há pelo menos seis meses, envolve a inserção de arquivos .blend maliciosos em plataformas como CGTrader. Ao abrir esses arquivos no Blender, um software gratuito de criação 3D, scripts Python embutidos são executados automaticamente, caso a opção Auto Run esteja habilitada. Essa vulnerabilidade é reconhecida pela própria Blender, que alerta sobre os riscos de segurança associados à execução de scripts Python. Os arquivos maliciosos contêm um script chamado ‘Rig_Ui.py’, que, ao ser executado, baixa um script PowerShell para obter dois arquivos ZIP. Um deles contém o payload do StealC V2, que é capaz de coletar informações de 23 navegadores, 100 plugins e extensões, além de aplicativos de carteiras de criptomoedas e serviços de mensagens. A Morphisec, empresa de segurança cibernética, recomenda que os usuários mantenham a opção Auto Run desativada, a menos que a fonte do arquivo seja confiável, já que os atacantes exploram o Blender, que normalmente é executado em máquinas físicas com GPUs, evitando ambientes virtuais e sandboxes.

O grupo de ameaças conhecido como ToddyCat tem utilizado métodos inovadores para obter acesso a dados de e-mail corporativo de empresas-alvo, incluindo uma ferramenta personalizada chamada TCSectorCopy. Essa técnica permite que os atacantes obtenham tokens do protocolo de autorização OAuth 2.0 através do navegador do usuário, possibilitando o acesso a e-mails corporativos fora da infraestrutura comprometida. Desde 2020, o ToddyCat tem como alvo diversas organizações na Europa e na Ásia, utilizando ferramentas como Samurai e TomBerBil para manter acesso e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge. Recentemente, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (CVE-2024-11859) para entregar um malware inédito chamado TCESB. Além disso, uma nova variante do TomBerBil foi detectada, capaz de extrair dados do Mozilla Firefox e operar em controladores de domínio. O ToddyCat também tem tentado obter tokens de acesso diretamente da memória em organizações que utilizam o Microsoft 365, utilizando uma ferramenta chamada SharpTokenFinder. Apesar de enfrentar dificuldades em algumas tentativas, o grupo continua a desenvolver suas técnicas para acessar correspondências corporativas de forma furtiva.

Pesquisadores em cibersegurança alertam sobre uma nova campanha que utiliza iscas do tipo ClickFix e sites falsos de conteúdo adulto para enganar usuários a executar comandos maliciosos, disfarçados como uma ‘atualização crítica’ de segurança do Windows. Segundo um relatório da Acronis, a campanha redireciona usuários para sites de conteúdo adulto, como clones do xHamster e PornHub, onde uma tela falsa de atualização do Windows é exibida. Essa abordagem psicológica pressiona as vítimas a instalarem a atualização ‘urgente’.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre o uso crescente de spyware e trojans de acesso remoto (RATs) por atores maliciosos que visam usuários de aplicativos de mensagens móveis. Esses ataques utilizam técnicas avançadas de engenharia social e direcionamento para comprometer dispositivos móveis, permitindo o acesso não autorizado a aplicativos de mensagens e a instalação de cargas maliciosas adicionais. Entre os exemplos citados estão campanhas que visam o aplicativo Signal, além de spyware para Android que se disfarça como aplicativos populares, como WhatsApp e TikTok, para roubar dados. A CISA recomenda que indivíduos em risco adotem práticas de segurança, como o uso de comunicações criptografadas de ponta a ponta, autenticação resistente a phishing e a atualização periódica de software. O alerta destaca a importância de proteger informações sensíveis, especialmente para indivíduos de alto valor, como oficiais do governo e organizações da sociedade civil, em regiões como os EUA, Oriente Médio e Europa.

Um relatório do Google Threat Intelligence Group (GTIG) revelou que um grupo hacker chinês, conhecido como APT24, utilizou um malware chamado BadAudio para ciberespionagem durante três anos sem ser detectado. O ataque começou em novembro de 2022 e envolveu a modificação de mais de 20 sites legítimos com a injeção de código malicioso em JavaScript. O malware se disfarçava como uma atualização de software, enganando as vítimas para que o instalassem sem perceber a verdadeira intenção. Uma técnica sofisticada chamada ‘control flow flattening’ foi utilizada para ofuscar o código, dificultando a engenharia reversa e a detecção do malware. Após a infecção, o BadAudio coletava informações do sistema e criptografava dados sensíveis para enviá-los a um centro de comando. O grupo também implementou campanhas de spearphishing, enviando e-mails que se passavam por organizações legítimas, e utilizou serviços como Google Drive e OneDrive para distribuir o malware. Apesar de algumas tentativas terem sido bloqueadas, a maioria das amostras analisadas permaneceu indetectada por mais de 25 plataformas de antivírus, evidenciando a eficácia das técnicas de invisibilidade empregadas pelo APT24.

Recentemente, múltiplos fornecedores de segurança alertaram sobre uma nova onda de ataques direcionados ao registro npm, denominada Sha1-Hulud, que comprometeu centenas de pacotes. Os pacotes infectados foram carregados entre 21 e 23 de novembro de 2025 e introduzem um novo vetor de ataque que executa código malicioso durante a fase de pré-instalação, aumentando a exposição em ambientes de construção e execução. Os pesquisadores da Wiz identificaram mais de 25.000 repositórios afetados, com 1.000 novos repositórios sendo adicionados a cada 30 minutos. O malware é capaz de registrar a máquina infectada como um runner auto-hospedado e exfiltrar segredos do GitHub, como tokens e credenciais de serviços em nuvem. Se o malware não conseguir autenticar ou estabelecer persistência, ele pode destruir dados no diretório inicial do usuário. A situação é considerada mais agressiva do que a onda anterior de ataques, que já havia mostrado um padrão de comprometimento de pacotes legítimos. Organizações são aconselhadas a escanear seus endpoints, remover versões comprometidas e auditar repositórios para mitigar riscos.

Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por atacantes para distribuir o malware conhecido como ShadowPad. A vulnerabilidade, identificada como CVE-2025-59287, é uma falha crítica de desserialização que permite a execução remota de código com privilégios de sistema. Os atacantes inicialmente acessaram servidores Windows com WSUS habilitado e utilizaram ferramentas como PowerCat, um utilitário baseado em PowerShell, para obter um shell do sistema. Em seguida, eles baixaram e instalaram o ShadowPad usando comandos como certutil e curl.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Um novo trojan bancário, denominado “Eternidade Stealer”, está atacando usuários de WhatsApp no Brasil, conforme análise da Trustwave SpiderLabs. O malware é disseminado por hackers através do aplicativo de mensagens e possui a capacidade de se autorreplicar, facilitando sua propagação. O Eternidade Stealer combina um stealer baseado em Delphi e um dropper MSI, que permite o roubo de informações sensíveis, como dados bancários e listas de contatos. O ataque utiliza um VBScript, com um worm escrito em Python, que se instala silenciosamente no dispositivo da vítima, realizando uma varredura em busca de ferramentas antivírus e coletando dados críticos. Os bancos mais afetados incluem Itaú, Santander, Bradesco e Caixa, além de serviços como MercadoPago e Binance. Os especialistas alertam que o malware é mais difícil de remover do que outros trojans comuns e que mensagens personalizadas são enviadas para enganar as vítimas. Diante desse cenário, é crucial que os usuários permaneçam atentos a atividades suspeitas no WhatsApp para evitar golpes financeiros.

O grupo de ameaças APT24, vinculado à China, tem utilizado um malware inédito chamado BADAUDIO para obter acesso remoto persistente a redes comprometidas, em uma campanha que já dura quase três anos. Inicialmente, o grupo se concentrava em compromissos estratégicos de sites legítimos, mas recentemente mudou sua abordagem para alvos mais sofisticados, especialmente em Taiwan. APT24, também conhecido como Pitty Tiger, tem atacado setores como governo, saúde e telecomunicações nos EUA e em Taiwan. O malware BADAUDIO, escrito em C++, é altamente ofuscado e atua como um downloader que pode baixar e executar cargas úteis criptografadas. Desde novembro de 2022, o grupo comprometeu mais de 20 sites legítimos, injetando código JavaScript malicioso para enganar usuários e forçá-los a baixar o malware disfarçado de atualização do Google Chrome. Além disso, a partir de julho de 2024, o grupo orquestrou um ataque à cadeia de suprimentos ao comprometer uma empresa de marketing digital em Taiwan, permitindo que mais de 1.000 domínios fossem afetados. A complexidade das técnicas utilizadas, como engenharia social e comprometimento de serviços em nuvem, demonstra a capacidade do grupo para espionagem persistente e adaptativa.

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Sturnus, que permite o roubo de credenciais e a tomada total do dispositivo para fraudes financeiras. Uma das características mais notáveis do Sturnus é sua capacidade de contornar mensagens criptografadas, capturando conteúdo diretamente da tela do dispositivo após a descriptografia. Isso permite que o malware monitore comunicações em aplicativos como WhatsApp, Telegram e Signal. Além disso, o Sturnus realiza ataques de sobreposição, exibindo telas de login falsas sobre aplicativos bancários para roubar credenciais dos usuários. O malware é direcionado a instituições financeiras na Europa Central e do Sul, utilizando sobreposições específicas para cada região. Após ser ativado, o Sturnus se conecta a um servidor remoto via WebSocket e HTTP, recebendo cargas úteis criptografadas. Ele também pode abusar dos serviços de acessibilidade do Android para capturar pressionamentos de tecla e registrar interações da interface do usuário. O Sturnus é projetado para evitar a detecção, bloqueando tentativas de desinstalação e monitorando continuamente a atividade do dispositivo. Embora sua disseminação ainda seja limitada, a combinação de geografia-alvo e foco em aplicativos de alto valor sugere que os atacantes estão refinando suas ferramentas para operações mais amplas no futuro.

A campanha de malvertising chamada TamperedChef está em andamento, utilizando instaladores falsos que se disfarçam como softwares populares para enganar usuários e instalar malware. O objetivo principal é estabelecer persistência e entregar um malware em JavaScript que permite acesso remoto e controle. Os atacantes empregam engenharia social, utilizando nomes de aplicativos comuns, malvertising e certificados digitais abusados para aumentar a confiança do usuário e evitar a detecção de segurança. Os instaladores falsos são assinados com certificados de empresas de fachada registradas em países como EUA, Panamá e Malásia. A campanha, que faz parte de um conjunto mais amplo de ataques denominado EvilAI, tem como alvo usuários que buscam editores de PDF ou manuais de produtos, levando-os a domínios maliciosos. Após a instalação, um backdoor em JavaScript é ativado, conectando-se a servidores externos e enviando informações básicas sobre o sistema infectado. A campanha já afetou setores como saúde, construção e manufatura, com uma concentração significativa de infecções nos EUA e em menor grau em países como Israel e Alemanha. Os dados indicam que os atacantes podem estar buscando monetizar o acesso a outros cibercriminosos ou coletar dados sensíveis para venda em fóruns clandestinos.

O comando ‘finger’, uma ferramenta de consulta de usuários em sistemas Unix, voltou a ser explorado por atacantes para executar comandos remotos e roubar dados sem que os usuários percebam. Embora tenha caído em desuso, o método atual utiliza scripts em lote que fazem requisições a servidores ‘finger’ remotos, canalizando as respostas diretamente para sessões de comando do Windows. Um exemplo notável envolveu um usuário que, acreditando estar completando uma verificação humana, na verdade executou um comando que se conectava a um endereço ‘finger’, permitindo que um script malicioso fosse executado localmente.

A Samsung enfrenta críticas globais após alegações de que alguns modelos de celulares Galaxy, como as linhas A, M e F, vêm com um aplicativo chamado AppCloud, desenvolvido pela ironSource, uma empresa israelense. Este aplicativo, que não pode ser desinstalado por métodos convencionais, levanta preocupações sobre privacidade, pois supostamente coleta dados sensíveis dos usuários, como endereço IP, identificadores de dispositivos e localização, sem consentimento. O AppCloud é descrito como um serviço de recomendações que sugere aplicativos de terceiros, mas sua natureza irremovível e a dificuldade em acessar sua política de privacidade aumentam a desconfiança. A ironSource já foi acusada de operar plataformas de adware, o que intensifica a indignação dos consumidores. Até o momento, a Samsung não se pronunciou sobre a situação, que ocorre em um contexto de crescente tensão geopolítica entre Israel e Palestina, o que pode agravar as preocupações sobre a segurança e privacidade dos dados dos usuários.