Malware

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões associadas à campanha GlassWorm, que continua a visar o ecossistema do Visual Studio Code (VS Code). As extensões, ainda disponíveis para download, incluem ‘ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ e ‘yasuyuky.transient-emacs’. A campanha, documentada pela Koi Security, utiliza extensões do Open VSX Registry e do Microsoft Extension Marketplace para roubar credenciais do GitHub e de carteiras de criptomoedas, além de implantar ferramentas de acesso remoto. O malware se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso, permitindo a replicação e a propagação em um ciclo autônomo. Apesar da remoção das extensões maliciosas pelo Open VSX, a ameaça ressurgiu, utilizando a mesma técnica de ofuscação para evitar detecções. A infraestrutura de comando e controle (C2) baseada em blockchain permite que os atacantes atualizem seus métodos de ataque com facilidade. A análise revelou que o ator de ameaças é de língua russa e utiliza uma estrutura de C2 de código aberto chamada RedExt. A GlassWorm também ampliou seu foco para o GitHub, utilizando credenciais roubadas para inserir commits maliciosos em repositórios.

Pesquisadores de cibersegurança da Palo Alto Networks, através da Unidade 42, identificaram uma campanha sofisticada de spyware para Android, chamada LANDFALL, que explora uma vulnerabilidade crítica zero-day em dispositivos Samsung Galaxy. Essa vulnerabilidade, identificada como CVE-2025-21042, reside na biblioteca de processamento de imagens da Samsung e permite que atacantes realizem operações de vigilância avançadas. O malware foi disseminado por meio de imagens maliciosas enviadas pelo WhatsApp, que aparentavam ser arquivos comuns, mas continham código malicioso embutido. Essa técnica de ataque é semelhante a cadeias de exploração observadas anteriormente em dispositivos iOS. O LANDFALL é capaz de gravar áudio, interceptar chamadas, rastrear localização e coletar dados pessoais, como fotos e mensagens. A campanha, que começou em meados de 2024, foi descoberta enquanto os pesquisadores investigavam uma cadeia de exploração paralela para iOS. A Samsung lançou um patch para a vulnerabilidade em abril de 2025, mas a campanha permaneceu ativa por meses, destacando a complexidade das operações de spyware comercial. A análise sugere conexões com atores de ameaças do Oriente Médio, especialmente com o grupo Stealth Falcon, conhecido por operar nos Emirados Árabes Unidos.

O uso de gatonets, TV Boxes e serviços de streaming piratas apresenta riscos significativos para os usuários, que podem se tornar alvos de diversas ameaças cibernéticas. Esses dispositivos, frequentemente não regulamentados, podem conter malwares que permitem o controle remoto do aparelho, expondo dados pessoais e financeiros dos usuários. Além disso, a instalação de malwares como o Triada pode transformar esses dispositivos em botnets, que são utilizados para ataques de DDoS, sobrecarregando serviços online e comprometendo a segurança de redes inteiras. O roubo de dados é outra preocupação, pois hackers podem acessar informações sensíveis, possibilitando fraudes e golpes de phishing. Por fim, a disseminação de spam a partir desses aparelhos pode afetar não apenas o usuário, mas também terceiros, ampliando o alcance de atividades ilegais. Para se proteger, é essencial optar por dispositivos certificados pela Anatel e desconfiar de ofertas de streaming gratuitas que não respeitam a legislação vigente.

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.

Uma falha de segurança recentemente corrigida em dispositivos Android da Samsung foi explorada como um zero-day para implantar um spyware chamado LANDFALL em ataques direcionados no Oriente Médio. A vulnerabilidade, identificada como CVE-2025-21042, possui uma pontuação CVSS de 8.8 e permite que atacantes remotos executem código arbitrário. A falha foi corrigida pela Samsung em abril de 2025, após relatos de ataques em andamento. Os alvos estão localizados em países como Iraque, Irã, Turquia e Marrocos. O spyware LANDFALL, uma ferramenta de espionagem avançada, coleta dados sensíveis, como gravações de microfone, localização, fotos, contatos e mensagens. Os ataques foram realizados através do envio de imagens maliciosas via WhatsApp, utilizando arquivos DNG. Além disso, outra vulnerabilidade na mesma biblioteca foi identificada, mas não foi utilizada na campanha LANDFALL. A análise sugere que o spyware se comunica com um servidor de comando e controle para receber novas instruções. A origem do spyware ainda é desconhecida, mas há indícios de conexão com o grupo Stealth Falcon. Este caso destaca a complexidade das ameaças cibernéticas e a necessidade de vigilância contínua.

Um relatório da Zscaler revelou que, entre junho de 2024 e maio de 2025, mais de 40 milhões de downloads de malwares foram realizados na Google Play Store, a loja de aplicativos para dispositivos Android. O estudo apontou um aumento de 67% nos malwares direcionados à plataforma, com destaque para spywares e trojans bancários. Os hackers estão mudando suas táticas, abandonando fraudes tradicionais com cartões de crédito em favor de métodos como phishing e smishing, aproveitando-se da engenharia social em vez de ataques diretos. Os malwares bancários, que realizaram 4,89 milhões de transações fraudulentas, mostraram um crescimento moderado de 3% em comparação ao ano anterior. A pesquisa identificou 239 tipos de malwares na loja, com os adwares representando 69% das detecções. Os países mais afetados foram Índia, Estados Unidos e Canadá, com um crescimento alarmante de ataques na Itália e Israel. A Zscaler recomenda que os usuários baixem aplicativos apenas de fontes confiáveis e mantenham seus dispositivos atualizados, evitando permissões excessivas a aplicativos desconhecidos.

O malware Herodotus, um novo trojan bancário para Android, está circulando como uma oferta de Malware-as-a-Service (MaaS), explorando engenharia social e abuso de permissões para contornar soluções de segurança tradicionais. Ele se espalha por campanhas de phishing via SMS, redirecionando as vítimas para páginas de download falsas, onde instalam o APK malicioso fora da Play Store oficial. Após a instalação e concessão de permissões críticas, o Herodotus assume o controle total do dispositivo, realizando operações bancárias não autorizadas enquanto os usuários estão logados em suas contas financeiras.

Um conjunto de nove pacotes maliciosos do NuGet foi identificado como capaz de implantar cargas úteis com atraso para sabotar operações de banco de dados e corromper sistemas de controle industrial. Publicados entre 2023 e 2024 por um usuário identificado como ‘shanhai666’, esses pacotes foram baixados quase 9.500 vezes. O pacote mais perigoso, Sharp7Extend, visa controladores lógicos programáveis (PLCs) industriais, utilizando dois mecanismos de sabotagem: a terminação aleatória de processos e falhas silenciosas de gravação que ocorrem entre 30 a 90 minutos após a instalação. Os pacotes maliciosos foram projetados para ativar códigos maliciosos em datas específicas, em 2027 e 2028, dificultando a resposta a incidentes e a investigação forense. A análise do código-fonte sugere que o autor pode ter origem chinesa, e a combinação de técnicas sofisticadas torna este ataque uma preocupação significativa para desenvolvedores e empresas que utilizam essas bibliotecas. A remoção dos pacotes do NuGet não elimina o risco, pois muitos desenvolvedores podem não estar cientes da introdução do malware em seus projetos.

Uma nova campanha de malware, composta por LeakyInjector e LeakyStealer, foi descoberta, visando roubar ativos em criptomoedas e dados de navegação dos usuários. O LeakyInjector, um executável de 64 bits assinado com um certificado digital válido, consegue contornar a segurança ao ser executado. Ele injeta o LeakyStealer na memória, que utiliza criptografia ChaCha20 para proteger seu código. O LeakyStealer estabelece persistência no sistema e coleta informações como nomes de usuário e dados de domínios, conectando-se a um servidor de comando e controle (C2) para exfiltrar dados. O malware também possui um motor polimórfico que dificulta a detecção estática, alterando bytes de memória durante a execução. Ele busca por carteiras de criptomoedas populares e extensões de navegadores, além de exfiltrar o histórico de navegação de vários navegadores. A campanha é considerada sofisticada, com um uso abusivo de assinatura de código e mecanismos furtivos de exfiltração, exigindo atenção imediata das equipes de resposta a incidentes.

Pesquisadores de cibersegurança identificaram uma extensão maliciosa para o Visual Studio Code (VS Code) chamada ‘susvsex’, que possui capacidades básicas de ransomware. Criada com auxílio de inteligência artificial, a extensão foi carregada em 5 de novembro de 2025, e não esconde suas funcionalidades maliciosas. Ao ser ativada, ela compacta, faz upload e criptografa arquivos de diretórios específicos do sistema operacional, como C:\Users\Public\testing no Windows e /tmp/testing no macOS. A Microsoft removeu a extensão do Marketplace do VS Code no dia seguinte à sua descoberta. Além da criptografia, a extensão utiliza um repositório privado no GitHub como canal de comando e controle (C2), onde busca novas instruções. O desenvolvedor, que se apresenta como residente de Baku, Azerbaijão, deixou evidências que podem facilitar a exploração por outros atacantes. Em um incidente separado, 17 pacotes npm foram encontrados disfarçados como kits de desenvolvimento, mas que executam o infostealer Vidar em sistemas infectados. Esses pacotes foram baixados mais de 2.240 vezes antes de serem removidos, destacando a necessidade de vigilância constante na cadeia de suprimentos de software.

O Google anunciou uma nova funcionalidade que permite que empresas listadas no Google Maps relatem tentativas de extorsão por parte de criminosos que publicam avaliações negativas falsas e exigem resgates para removê-las. Essa prática, conhecida como ‘review bombing’, visa prejudicar a reputação de negócios. Laurie Richardson, vice-presidente de Confiança e Segurança do Google, destacou que os golpistas inundam perfis de empresas com avaliações de uma estrela e, em seguida, contatam os proprietários para exigir pagamento, ameaçando escalar a situação caso não sejam atendidos. Além disso, o Google alertou sobre outros tipos de fraudes, como golpes de emprego online, fraudes relacionadas a produtos de IA, aplicativos VPN maliciosos e golpes de recuperação de fraudes. Os usuários são aconselhados a ter cautela ao receber mensagens inesperadas e a baixar aplicativos apenas de fontes confiáveis. O artigo também menciona que a Meta, controladora do Facebook, está enfrentando críticas por permitir que anúncios fraudulentos proliferem em sua plataforma, com estimativas de que esses anúncios possam representar até 10,1% de sua receita total. A situação destaca a necessidade de vigilância constante contra fraudes online e a importância de medidas proativas para proteger empresas e consumidores.

Um relatório da ESET revelou um aumento alarmante nas operações cibernéticas destrutivas contra a infraestrutura ucraniana, atribuídas ao grupo Sandworm, alinhado à Rússia. A campanha, que ocorreu entre abril e setembro de 2025, utilizou novas famílias de malware wiper, ZEROLOT e Sting, projetadas para causar interrupções em setores críticos como energia, logística e agricultura. Esses malwares sobrescrevem arquivos de sistema e dados, tornando as máquinas infectadas completamente inoperáveis. Os ataques foram frequentemente realizados através de anexos de spearphishing disfarçados de documentos financeiros legítimos, explorando canais de comunicação confiáveis entre parceiros da cadeia de suprimentos. A análise da ESET sugere que o objetivo principal era desestabilizar as exportações de grãos e a logística energética da Ucrânia, coincidindo com eventos de escalada regional. Além disso, a ESET observou uma colaboração entre diferentes grupos APT russos, indicando uma evolução preocupante na estratégia cibernética da Rússia, que agora combina espionagem com sabotagem econômica. As campanhas de Sandworm foram detectadas e mitigadas pela ESET em sua base de clientes, destacando a necessidade de vigilância contínua e medidas de proteção em resposta a essas ameaças.

Pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft identificaram um novo malware chamado SesameOp, que utiliza a API Assistants da OpenAI como centro de comando e controle. Este malware foi detectado após uma série de ataques em julho de 2025 e é capaz de permanecer ativo em sistemas invadidos por meses, utilizando serviços em nuvem para comunicação. Os hackers enviam comandos criptografados à API, que os repassa ao malware, que por sua vez criptografa os dados roubados e os envia de volta. O SesameOp se destaca por não explorar vulnerabilidades da plataforma da OpenAI, mas sim por abusar de funcionalidades existentes. O malware é implementado através de um loader ofuscado e backdoor baseado em .NET, utilizando ferramentas do Microsoft Visual Studio para injeção. A Microsoft e a OpenAI estão colaborando nas investigações, que já resultaram na desativação de contas e chaves de API associadas aos cibercriminosos. Para mitigar riscos, recomenda-se que empresas auditem seus registros de firewall e monitorem atividades não autorizadas.

Uma nova campanha de malware, conhecida como ValleyRAT, está atacando usuários e organizações que falam chinês, utilizando técnicas avançadas de evasão e escalonamento de privilégios. Identificado pela primeira vez em 2023, o ValleyRAT se destaca por sua capacidade de se esconder e evitar detecções, empregando um modelo de execução em múltiplas camadas. O malware começa com um downloader que carrega um loader, seguido por um injetor e, finalmente, o payload do RAT. O loader, um executável .NET, utiliza criptografia para ocultar seus recursos e se aproveita de ferramentas legítimas da Microsoft para injetar o malware em processos em execução.

Pesquisadores da Palo Alto Networks, através da Unidade 42, identificaram uma nova família de malware chamada Airstalk, que parece estar ligada a uma operação de um suposto estado-nação, classificada como CL-STA-1009. O malware, desenvolvido em PowerShell e .NET, foi utilizado em um ataque de cadeia de suprimentos, visando provedores de terceirização de processos de negócios (BPO) e serviços gerenciados. Airstalk explora a API de Gerenciamento de Dispositivos Móveis (MDM) do VMware AirWatch (atualmente Workspace ONE UEM) para estabelecer comunicações de comando e controle (C2) de forma discreta. Ao abusar de pontos finais legítimos do AirWatch, o malware consegue evitar a detecção e se camuflar no tráfego empresarial confiável. A variante em PowerShell utiliza atributos de dispositivos personalizados para trocar mensagens C2 criptografadas, enquanto a versão em .NET apresenta funcionalidades mais avançadas, como suporte a navegadores adicionais e múltiplas threads para tarefas de C2. Ambas as versões demonstram um design modular e em desenvolvimento contínuo, com a assinatura de um certificado digital possivelmente roubado, indicando características de operações de ameaças persistentes avançadas. A análise sugere que a campanha representa um risco significativo, especialmente para provedores de serviços terceirizados, que são vistos como alvos valiosos para compromissos de cadeia de suprimentos.

O Google Threat Intelligence Group (GTIG) identificou um novo malware chamado PROMPTFLUX, que utiliza a API Gemini para modificar seu próprio código durante a execução. Este dropper é notável por empregar uma técnica chamada ‘just-in-time AI’, que permite que o malware altere dinamicamente sua estrutura e conteúdo, dificultando a detecção por métodos tradicionais. O PROMPTFLUX se comunica com a API Gemini para obter novas variantes de código VBScript, focadas em evadir antivírus. Um módulo denominado ‘Thinking Robot’ automatiza o processo, salvando arquivos regenerados na pasta de inicialização do Windows para garantir persistência. A análise do GTIG revelou que o malware ainda está em fase de desenvolvimento e não foi amplamente implantado. No entanto, a utilização de modelos de linguagem para metamorfose em tempo de execução indica uma evolução significativa em ecossistemas de malware autônomos. Além disso, o relatório correlaciona atividades semelhantes com outros malwares habilitados por IA, como PROMPTSTEAL e PROMPTLOCK, associados a atores estatais de países como Coreia do Norte, Irã e China. O Google reforçou suas medidas de segurança para mitigar esses riscos, destacando a importância do desenvolvimento responsável de IA.

O grupo de cibercriminosos conhecido como Curly COMrades tem utilizado tecnologias de virtualização para contornar soluções de segurança e executar malware personalizado. De acordo com um relatório da Bitdefender, os atacantes ativaram o papel do Hyper-V em sistemas de vítimas selecionadas, implantando uma máquina virtual minimalista baseada em Alpine Linux. Essa configuração oculta, com um espaço em disco de apenas 120MB e 256MB de memória, hospedava um shell reverso chamado CurlyShell e um proxy reverso denominado CurlCat.

Pesquisadores da ESET identificaram 12 aplicativos maliciosos para Android que gravam conversas e chamadas dos usuários sem o seu conhecimento. Esses aplicativos, disfarçados de plataformas de mensagens, são utilizados por cibercriminosos para instalar um spyware chamado VajraSpy nos dispositivos. O ataque começa com uma abordagem que cria uma falsa sensação de confiança, levando a vítima a instalar o aplicativo malicioso. Uma vez instalado, o VajraSpy tem acesso a informações confidenciais, como contatos, mensagens e localização, além de poder gravar áudios e chamadas. Embora alguns desses aplicativos tenham sido removidos da Google Play Store, outros ainda estão disponíveis, exigindo que os usuários tenham cautela ao baixar novos aplicativos. Para se proteger, recomenda-se não clicar em links suspeitos, verificar a reputação dos aplicativos e estar atento a sinais de infecção, como solicitações inesperadas de acesso ao microfone e consumo excessivo de bateria. A instalação de um antivírus também é uma medida recomendada para detectar atividades suspeitas em tempo real.

Um novo malware para Android, identificado como ‘Android/BankBot-YNRK’, está causando preocupação entre usuários de criptomoedas na Indonésia e em outros países do sudeste asiático. Este trojan bancário se disfarça de aplicativos populares, como WhatsApp e TikTok, e é capaz de drenar carteiras de criptomoedas sem que as vítimas percebam. O malware utiliza recursos de acessibilidade do Android para obter controle total do dispositivo, permitindo que os cibercriminosos acessem dados bancários, senhas e chaves de criptomoedas. Uma das características mais alarmantes do vírus é sua capacidade de desativar notificações e alertas, tornando difícil para o usuário perceber transações suspeitas em andamento. Além disso, o malware pode capturar imagens em tempo real, facilitando o roubo de credenciais de acesso. A Cyfirma, empresa de cibersegurança que identificou a ameaça, alerta que o vírus se espalha principalmente por meio de downloads de APKs de fontes não oficiais, enganando os usuários com simulações de verificações de dados pessoais. A situação é crítica, especialmente para dispositivos com Android 13 e versões anteriores, que oferecem permissões que facilitam a ação do malware.

O Google revelou a descoberta de um novo malware chamado PROMPTFLUX, que utiliza um script em Visual Basic (VBScript) para interagir com a API do modelo de inteligência artificial Gemini. Este malware é capaz de gerar seu próprio código-fonte, permitindo técnicas de ofuscação e evasão em tempo real, o que dificulta a detecção por sistemas de segurança baseados em assinaturas estáticas. A funcionalidade inovadora do PROMPTFLUX é parte de um componente denominado ‘Thinking Robot’, que consulta periodicamente o modelo de linguagem Gemini para obter novas técnicas de evasão. Embora atualmente o malware não tenha capacidade de comprometer redes ou dispositivos, sua evolução e a possibilidade de auto-modificação indicam um potencial de ameaça crescente. O Google também observou que atores maliciosos estão utilizando IA não apenas para aumentar a produtividade, mas para desenvolver ferramentas que se adaptam durante a execução. Além disso, o uso de IA por grupos patrocinados por estados, como os da China e Irã, para criar conteúdo enganoso e desenvolver infraestrutura técnica para exfiltração de dados, destaca a crescente sofisticação das ameaças cibernéticas. A expectativa é que o uso de IA por atores maliciosos se torne a norma, aumentando a velocidade e a eficácia de suas operações.

O grupo de ameaças APT-C-60 intensificou suas atividades entre junho e agosto de 2025, visando organizações japonesas com e-mails de spear-phishing sofisticados. Nesta nova campanha, os atacantes se disfarçaram como candidatos a emprego, enviando mensagens diretamente aos recrutadores. Ao contrário de campanhas anteriores, onde os arquivos maliciosos eram baixados via Google Drive, nesta fase, os arquivos VHDX foram anexados diretamente aos e-mails. Dentro do contêiner VHDX, os alvos encontravam arquivos de atalho (LNK) e currículos falsos. Ao serem clicados, os arquivos LNK executavam um binário legítimo, gcmd.exe, que rodava um script malicioso chamado glog.txt, criando e executando cargas adicionais enquanto exibia um currículo falso para enganar as vítimas.

Um novo malware para Android, denominado NGate, foi descoberto pela CERT Polska, utilizando uma técnica sofisticada de relé NFC para atacar usuários de bancos na Polônia. O ataque permite que criminosos realizem saques em caixas eletrônicos usando os próprios cartões de pagamento das vítimas, sem a necessidade de roubo físico. O processo começa com mensagens de phishing que se disfarçam de alertas bancários, levando as vítimas a instalar um aplicativo malicioso que simula ferramentas legítimas de banco móvel. Após a instalação, os usuários são induzidos a confirmar seus cartões através de NFC, o que resulta na captura de dados sensíveis, como o número do cartão e o PIN, que são enviados em tempo real para os atacantes. A análise técnica revelou que o aplicativo malicioso opera como um serviço de emulação de cartão, interceptando a comunicação NFC e transmitindo os dados para um servidor controlado pelos criminosos. A CERT Polska recomenda que os usuários baixem apenas aplicativos bancários verificados e entrem em contato diretamente com seus bancos ao receber solicitações suspeitas. Este incidente destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de serviços financeiros.

O grupo de ameaças FIN7, também conhecido como Savage Ladybug, continua a utilizar um backdoor baseado em SSH específico para Windows, que foi identificado pela primeira vez em 2022. Recentemente, a Prodaft revelou que a campanha mais recente do grupo faz uso de um conjunto de ferramentas OpenSSH personalizadas e um script de instalação chamado install.bat, que estabelece canais de acesso remoto criptografados e facilita a exfiltração de dados.

O malware transforma sistemas Windows em clientes SSH, permitindo a criação de túneis reversos para servidores controlados pelos atacantes, contornando restrições de firewall. Após a ativação, o malware possibilita sessões SFTP seguras para transferências de dados discretas e controle contínuo pelos operadores. A aparência modular e legítima dos componentes OpenSSH torna a detecção difícil, pois imita utilitários administrativos inofensivos.

Uma nova campanha de cibercriminosos tem se aproveitado da popularidade do WhatsApp e de ferramentas de inteligência artificial para roubar dados pessoais dos usuários. Identificada pela empresa de segurança Appknox, a campanha envolve aplicativos falsos que imitam a interface do WhatsApp, ChatGPT e DALL·E, disponíveis em lojas digitais alternativas. Esses aplicativos maliciosos, como o WhatsApp Plus, solicitam permissões excessivas, como acesso a SMS e registros de chamadas, permitindo que os criminosos capturem informações sensíveis sem o consentimento dos usuários. O malware pode operar mesmo quando o aplicativo está fechado, utilizando bibliotecas nativas para monitorar atividades. A Appknox alerta que a falha nos mecanismos de verificação de aplicativos torna a situação ainda mais crítica, exigindo uma vigilância constante nas lojas de aplicativos e a educação dos usuários sobre a instalação de aplicativos apenas em plataformas oficiais. A descoberta dessa campanha é um sinal de alerta para empresas, pois dispositivos comprometidos podem ser usados para roubar códigos de verificação bancária e facilitar fraudes.

Recentemente, uma nova campanha de ciberespionagem, chamada Operação SkyCloak, foi identificada, visando o setor de defesa na Rússia e na Bielorrússia. Os atacantes utilizam e-mails de phishing com anexos maliciosos, disfarçados como documentos militares, para implantar um backdoor persistente em sistemas comprometidos. O malware utiliza OpenSSH e um serviço oculto Tor para ofuscação de tráfego, permitindo que os invasores mantenham controle remoto sobre as máquinas infectadas.

O ataque começa com um arquivo ZIP que contém um atalho do Windows (LNK) e um segundo arquivo compactado. Quando o atalho é aberto, comandos PowerShell são executados, iniciando uma cadeia de infecção. O malware realiza verificações para evitar ambientes de análise, como sandboxes, e, uma vez que as condições são atendidas, exibe um documento PDF como isca. Além disso, cria tarefas agendadas para garantir sua persistência e estabelece um serviço SSH que permite a transferência de arquivos e acesso remoto.

Uma campanha de publicidade maliciosa sofisticada está atualmente entregando o malware OysterLoader por meio de anúncios falsos de ferramentas de software populares, como PuTTY, Microsoft Teams e Zoom. Desde junho de 2025, o grupo de ransomware Rhysida, que atua desde 2021, tem explorado um modelo de malvertising eficaz, comprando anúncios no Bing que redirecionam usuários desavisados para páginas de download fraudulentas. Essas páginas imitam sites oficiais e, ao serem acessadas, instalam o OysterLoader, que serve como uma ferramenta de acesso inicial para permitir que hackers mantenham acesso a dispositivos e redes comprometidos. Para evitar a detecção, o grupo utiliza técnicas de compressão e ofuscação do malware, além de certificados de assinatura de código para dar uma falsa legitimidade aos arquivos maliciosos. Apesar da revogação de mais de 200 certificados pela Microsoft, a campanha continua ativa, com o uso de mais de 40 certificados novos. Essa escalada nas operações do grupo demonstra recursos financeiros substanciais e um compromisso com suas atividades maliciosas, diversificando suas táticas com a implementação de outros malwares, como o Latrodectus.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

Pesquisadores da Netskope identificaram que a ferramenta de código aberto RedTiger, originalmente desenvolvida para testes de segurança, está sendo utilizada por hackers para criar um infostealer que rouba dados de contas do Discord e informações de pagamento. O malware, que também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e informações de jogos como Roblox, é disseminado através de canais do Discord, sites maliciosos e vídeos no YouTube, disfarçado como mods ou boosters. A RedTiger permite a interceptação de dados do sistema, incluindo senhas e cookies, e injeta JavaScript no Discord para capturar eventos como tentativas de login e compras. Os dados coletados são enviados para os hackers via GoFile, um serviço de armazenamento em nuvem anônimo. A Netskope alerta que usuários franceses do Discord estão sendo os principais alvos, e recomenda que, em caso de suspeita de infecção, os usuários revoguem tokens, troquem senhas e reinstalem o aplicativo a partir do site oficial. A situação destaca a vulnerabilidade de usuários em plataformas populares e a necessidade de medidas de segurança robustas.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

O Open VSX Registry e a Eclipse Foundation relataram um incidente de segurança envolvendo o vazamento de tokens de desenvolvedores e a publicação de extensões maliciosas que exploraram essas credenciais. A situação foi identificada por pesquisadores de segurança da Wiz, que encontraram tokens expostos em repositórios de código público. Esses tokens pertenciam a usuários do Open VSX e foram utilizados por atacantes para publicar extensões prejudiciais na plataforma. A Eclipse Foundation esclareceu que a exposição dos tokens foi resultado de descuidos dos desenvolvedores, e não de uma violação de infraestrutura. Após a identificação dos tokens comprometidos, a equipe os revogou imediatamente e implementou melhorias significativas na segurança, incluindo a colaboração com o Microsoft Security Response Center para criar um formato de prefixo de token que facilita a detecção de exposições em repositórios públicos. Embora o ataque tenha sido considerado sério, a equipe do Open VSX afirmou que não se tratava de um verme autônomo, mas sim de um malware que exigia intervenção humana para se propagar. Todas as extensões maliciosas foram removidas rapidamente, e o incidente foi declarado totalmente contido em 21 de outubro de 2025, sem evidências de compromissos em andamento.

O grupo de ameaças Kimsuky, vinculado à Coreia do Norte, lançou um novo backdoor chamado HttpTroy, utilizando um ataque de spear-phishing direcionado a uma vítima na Coreia do Sul. O ataque foi revelado pela Gen Digital, que não especificou a data do incidente. O e-mail de phishing continha um arquivo ZIP disfarçado como uma fatura de VPN, que, ao ser aberto, ativava uma cadeia de execução de malware. Essa cadeia inclui um dropper, um loader chamado MemLoad e o backdoor HttpTroy.

Pesquisadores de cibersegurança identificaram dois novos trojans para Android, BankBot-YNRK e DeliveryRAT, que têm a capacidade de coletar dados sensíveis de dispositivos comprometidos. O BankBot-YNRK, por exemplo, evita a detecção ao verificar se está sendo executado em um ambiente virtualizado e coleta informações sobre o dispositivo, como fabricante e modelo. Ele se disfarça como um aplicativo governamental indonésio, ‘Identitas Kependudukan Digital’, e, uma vez instalado, silencia notificações para não alertar a vítima sobre atividades suspeitas. O malware é projetado para operar em dispositivos Android 13 e anteriores, já que a versão 14 introduziu novas proteções contra o uso indevido de serviços de acessibilidade. Por outro lado, o DeliveryRAT, que tem sido distribuído sob a forma de serviços de entrega, coleta dados de SMS e registros de chamadas, além de ocultar seu ícone para dificultar a remoção. Ambos os trojans representam uma ameaça significativa, especialmente para usuários de dispositivos Android no Brasil, onde a segurança de dados financeiros é uma preocupação crescente.

O malware Herodotus, recentemente identificado pela Threat Fabric, tem gerado preocupações no Brasil e na Itália por sua capacidade de imitar o comportamento humano e enganar sistemas de segurança bancários. Este software malicioso, que opera como um Malware-as-a-Service (MaaS), é distribuído através de fraudes conhecidas como SMiShing, onde usuários recebem mensagens de texto com links maliciosos. Ao clicar no link, a vítima baixa um dropper que instala o Herodotus no dispositivo Android, permitindo que o malware obtenha acesso total ao aparelho.

O crescimento explosivo de aplicativos móveis impulsionados por IA criou um ambiente propício para cibercriminosos que exploram a confiança nas marcas. Pesquisadores da Appknox identificaram um aumento preocupante de clones falsos do ChatGPT, DALL·E e WhatsApp em lojas de aplicativos alternativas, que utilizam marcas conhecidas para enganar usuários e comprometer dispositivos empresariais. Em 2024, aplicativos relacionados à IA representaram 13% de todos os downloads globais, totalizando 17 bilhões, tornando-se alvos atraentes para ataques. As ameaças variam de adware oportunista a infraestruturas de spyware. Um exemplo alarmante é o WhatsApp Plus, que se disfarça como uma versão aprimorada do mensageiro, mas contém malware que solicita permissões extensivas, permitindo que atacantes interceptem códigos de autenticação e acessem contatos. A análise de tráfego de rede revelou técnicas de mascaramento de tráfego malicioso. Para ambientes corporativos, as implicações são catastróficas, com riscos de violação de normas como GDPR e HIPAA, podendo resultar em multas milionárias. Os pesquisadores ressaltam que os mecanismos tradicionais de verificação de aplicativos falham em prevenir ameaças pós-lançamento, destacando a necessidade de monitoramento contínuo e educação dos usuários sobre downloads seguros.

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, identificaram um novo malware chamado Airstalk, supostamente associado a um ator de ameaça apoiado por um Estado, que utiliza a API do AirWatch para gerenciamento de dispositivos móveis (MDM) para estabelecer um canal de comando e controle (C2) encoberto. O Airstalk aparece em variantes PowerShell e .NET, sendo a versão .NET mais avançada, capaz de capturar capturas de tela, cookies, histórico de navegação e favoritos de navegadores. O malware se comunica com o servidor C2 através de um protocolo multi-threaded e utiliza um certificado possivelmente roubado para assinar alguns de seus componentes. A pesquisa sugere que o malware pode estar visando o setor de terceirização de processos de negócios (BPO), um alvo lucrativo para atacantes, tanto criminosos quanto apoiados por Estados. A utilização de APIs relacionadas ao MDM para C2 e o foco em navegadores empresariais como o Island indicam uma potencial exploração de cadeia de suprimentos, o que pode ter implicações significativas para a segurança das organizações que dependem desses serviços.

O grupo de ameaças conhecido como UNC6384, associado à China, está vinculado a uma nova onda de ataques que exploram uma vulnerabilidade não corrigida em atalhos do Windows, visando entidades diplomáticas e governamentais na Europa entre setembro e outubro de 2025. Os ataques foram direcionados a organizações diplomáticas na Hungria, Bélgica, Itália e Países Baixos, além de agências governamentais na Sérvia. A cadeia de ataque começa com e-mails de spear-phishing que contêm URLs maliciosas, levando à entrega de arquivos LNK que exploram a vulnerabilidade ZDI-CAN-25373, identificada como CVE-2025-9491. Esses arquivos são projetados para desencadear uma sequência de ataques que culminam na implantação do malware PlugX, um trojan de acesso remoto. O PlugX é conhecido por suas capacidades de acesso remoto, incluindo execução de comandos, registro de teclas e upload/download de arquivos. A evolução do malware foi observada, com a redução do tamanho dos artefatos de 700 KB para 4 KB, indicando um desenvolvimento ativo. A campanha se alinha com os interesses estratégicos da China em relação à coesão das alianças europeias e iniciativas de defesa.

A Eclipse Foundation, responsável pelo projeto Open VSX, anunciou a revogação de alguns tokens que foram acidentalmente expostos em extensões do Visual Studio Code (VS Code) publicadas no marketplace. Essa medida foi tomada após um relatório da empresa de segurança em nuvem Wiz, que identificou que várias extensões, tanto do marketplace da Microsoft quanto do Open VSX, expuseram seus tokens de acesso em repositórios públicos. Mikaël Barbero, chefe de segurança da Eclipse Foundation, afirmou que as exposições foram causadas por erros dos desenvolvedores e não por uma violação da infraestrutura do Open VSX. Para mitigar riscos futuros, a Open VSX implementou um novo formato de prefixo para tokens e está reduzindo os limites de tempo de vida dos tokens por padrão. Além disso, a fundação está automatizando a verificação de extensões no momento da publicação para detectar padrões de código malicioso. O incidente destaca a importância da segurança da cadeia de suprimentos, que é uma responsabilidade compartilhada entre desenvolvedores e mantenedores de registros. O número de downloads reportados de 35.800 pode estar inflacionado devido a bots, segundo Barbero.

O AdaptixC2, um framework de código aberto para comando e controle (C2), está sendo utilizado por um número crescente de atores de ameaças, incluindo grupos de ransomware ligados à Rússia. Desenvolvido inicialmente por um usuário do GitHub conhecido como ‘RalfHacker’, o AdaptixC2 é projetado para testes de penetração e oferece uma variedade de recursos, como comunicações criptografadas, execução de comandos e gerenciamento de credenciais. Desde sua liberação pública em agosto de 2024, o framework tem sido adotado por grupos de hackers, incluindo operações de ransomware como Fog e Akira. A Palo Alto Networks caracterizou o AdaptixC2 como um framework modular que permite controle abrangente de máquinas comprometidas. Apesar de ser uma ferramenta ética, sua popularidade entre cibercriminosos levanta preocupações. A empresa Silent Push iniciou uma investigação após a descrição de RalfHacker como ‘MalDev’, encontrando conexões com o submundo criminoso da Rússia. Embora não se saiba se RalfHacker está diretamente envolvido em atividades maliciosas, a utilização crescente do AdaptixC2 por atores de ameaças russos é um sinal de alerta significativo.

Pesquisadores da Unit 42 identificaram uma nova família de malware chamada Airstalk, que ataca sistemas Windows utilizando APIs legítimas de gerenciamento de dispositivos móveis para estabelecer canais de comando e controle (C2) encobertos. O malware possui variantes em PowerShell e .NET, e há indícios de que um ator de estado-nação pode ter utilizado essa ameaça em ataques à cadeia de suprimentos. Airstalk se destaca por explorar a API AirWatch da VMware, agora conhecida como Workspace ONE Unified Endpoint Management, abusando de atributos de dispositivos personalizados e capacidades de upload de arquivos para criar um mecanismo de comunicação bidirecional com os atacantes.

O Lampion Stealer, um trojan bancário desenvolvido por atores de ameaça brasileiros, evoluiu suas táticas de infecção ao incorporar a técnica de engenharia social conhecida como ClickFix. Desde junho de 2024, essa campanha tem demonstrado capacidades sofisticadas de evasão, visando usuários de língua portuguesa e resultando em dezenas de novas infecções diariamente. A campanha utiliza contas de e-mail comprometidas para enviar mensagens de phishing que se disfarçam como recibos de transferências bancárias. Os e-mails contêm anexos ZIP que iniciam uma cadeia de infecção em múltiplas etapas, projetada para implantar um malware que rouba credenciais. A técnica ClickFix substitui links maliciosos tradicionais, levando as vítimas a executar comandos no Windows que baixam e executam scripts maliciosos. O malware coleta informações sensíveis, como credenciais bancárias portuguesas, e utiliza uma infraestrutura distribuída para evitar a detecção. A taxa de detecção permanece baixa, com os arquivos iniciais apresentando zero detecções em ferramentas de segurança. Essa evolução nas táticas de ataque destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger os usuários contra essas ameaças.

Pesquisadores de cibersegurança descobriram uma campanha ativa de ataque à cadeia de suprimentos de software, denominada PhantomRaven, que visa o registro npm. Desde agosto de 2025, mais de 100 pacotes maliciosos foram identificados, com um total de 126 bibliotecas npm que atraíram mais de 86.000 instalações. Esses pacotes são projetados para roubar tokens de autenticação, segredos de CI/CD e credenciais do GitHub dos desenvolvedores. O ataque se destaca pela técnica de esconder código malicioso em dependências, utilizando URLs HTTP personalizadas que direcionam para um site não confiável, dificultando a detecção por ferramentas de segurança. Quando um desenvolvedor instala um pacote aparentemente benigno, o código malicioso é executado, coletando informações sensíveis do ambiente do desenvolvedor e enviando-as para um servidor remoto. A escolha dos nomes dos pacotes não é aleatória, aproveitando-se de um fenômeno conhecido como slopsquatting, onde nomes plausíveis são gerados por modelos de linguagem. Essa situação ressalta a necessidade de uma vigilância constante em ecossistemas de código aberto, onde a facilidade de publicação pode facilitar a disseminação de malware.

O cenário de cibersegurança está em constante evolução, com atacantes focando em alvos de alto impacto e explorando novas vulnerabilidades. Recentemente, o Hijack Loader foi utilizado em campanhas de phishing na América Latina, especificamente na Colômbia, onde e-mails falsos relacionados ao escritório do Procurador Geral foram enviados para disseminar o PureHVNC RAT. Além disso, um ex-empregado de um contratante de defesa dos EUA foi condenado por vender segredos comerciais a um corretor russo, recebendo pagamentos em criptomoedas. A Europol alertou sobre o aumento da fraude global impulsionada por chamadas com identificação falsa, que causam perdas estimadas em 850 milhões de euros anualmente. Em resposta a essas ameaças, o Google anunciou que o Chrome passará a usar HTTPS como padrão a partir de abril de 2026, visando aumentar a segurança dos usuários. Por fim, uma avaliação da segurança cibernética do setor energético dos EUA revelou uma exposição significativa à internet, com quase 40 mil hosts vulneráveis. Esses eventos destacam a necessidade urgente de ações proativas por parte das organizações para proteger seus ativos digitais.

Pesquisadores de segurança da XLab identificaram uma expansão significativa da botnet PolarEdge, que comprometeu mais de 25.000 dispositivos e 140 servidores de comando e controle (C2) em 40 países. A descoberta se concentrou em um novo componente, o RPX_Client, que transforma dispositivos IoT vulneráveis em nós proxy para operações cibernéticas. O ataque foi detectado em 30 de maio de 2025, quando um arquivo ELF chamado ‘w’ começou a ser distribuído, inicialmente sem detecções no VirusTotal, sugerindo uma campanha furtiva. A maioria dos dispositivos infectados está localizada na Coreia do Sul (41,97%), seguida pela China (20,35%) e Tailândia (8,37%). Os alvos principais incluem câmeras de vigilância KT CCTV e gravadores de vídeo digitais da Shenzhen TVT, além de roteadores Asus e Cisco. A infraestrutura RPX_Server opera em servidores virtuais privados, principalmente na Alibaba Cloud e Tencent Cloud, utilizando um certificado PolarSSL idêntico, o que facilitou a validação dos servidores ativos. O design da botnet complica os esforços de atribuição, tornando a identificação de origens de ataques mais desafiadora.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

A IBM X-Force identificou uma campanha de phishing coordenada que visou usuários colombianos entre agosto e outubro de 2025. Os atacantes utilizaram comunicações judiciais falsificadas para distribuir o Trojan de Acesso Remoto (RAT) PureHVNC por meio do carregador de malware Hijackloader. Essa campanha é significativa, pois representa a primeira vez que o PureHVNC foi direcionado a usuários de língua espanhola e a primeira campanha do Hijackloader focada especificamente em vítimas da América Latina.

O Atroposia é um novo trojan de acesso remoto (RAT) que vem ganhando popularidade em fóruns underground, sendo oferecido como um kit de ferramentas de cibercrime acessível e modular. Com um custo de aproximadamente R$ 1.000 por seis meses, ele é projetado para atacantes com pouca ou nenhuma habilidade técnica. Entre suas funcionalidades, destaca-se o HRDP Connect, que permite acesso remoto invisível ao desktop da vítima, possibilitando que os atacantes interajam com o sistema sem serem detectados. Além disso, o Atroposia inclui um módulo de escaneamento de vulnerabilidades, que identifica falhas em sistemas comprometidos, e mecanismos robustos de persistência que garantem a continuidade do acesso mesmo após reinicializações. Outro recurso preocupante é a captura do conteúdo da área de transferência, que pode extrair informações sensíveis em tempo real. O uso de técnicas como o sequestro de DNS para redirecionar tráfego também é uma ameaça significativa, permitindo ataques de phishing e comprometimento de redes. A Varonis alerta que a evolução de ferramentas como o Atroposia representa um desafio crescente para a segurança cibernética, exigindo que as empresas adotem análises comportamentais avançadas para detectar atividades suspeitas.

Pesquisadores de cibersegurança descobriram um conjunto de 10 pacotes npm maliciosos que têm como objetivo roubar informações de sistemas Windows, Linux e macOS. Esses pacotes, que foram carregados no repositório em 4 de julho de 2025, acumulam mais de 9.900 downloads. Eles se disfarçam como bibliotecas populares, como TypeScript e discord.js, e utilizam quatro camadas de ofuscação para esconder seu código malicioso. Após a instalação, o malware exibe um CAPTCHA falso para parecer legítimo e captura o endereço IP da vítima, enviando-o para um servidor externo. O malware, que é ativado automaticamente durante a instalação, coleta credenciais de gerenciadores de senhas, navegadores e serviços de autenticação, armazenando essas informações em um arquivo ZIP que é enviado para o servidor do atacante. O uso de técnicas de ofuscação complexas dificulta a análise do código, permitindo que o malware opere sem ser detectado. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger desenvolvedores e suas máquinas contra ameaças emergentes.

Recentemente, o grupo de ameaças cibernéticas associado à Coreia do Norte, conhecido como Lazarus Group, tem direcionado suas atividades para os setores de Web3 e blockchain através de duas campanhas chamadas GhostCall e GhostHire. De acordo com a Kaspersky, essas operações fazem parte de uma iniciativa mais ampla chamada SnatchCrypto, que está em andamento desde 2017. A campanha GhostCall foca em dispositivos macOS de executivos de empresas de tecnologia e capital de risco, utilizando táticas de engenharia social via Telegram para convidar as vítimas a reuniões de investimento em sites de phishing que imitam plataformas como Zoom. Já a GhostHire visa desenvolvedores Web3, induzindo-os a baixar repositórios maliciosos do GitHub sob o pretexto de avaliações de habilidades. Ambas as campanhas têm mostrado um aumento na atividade desde 2023, com um foco particular em países como Japão, Itália e Austrália. As técnicas utilizadas incluem a instalação de malwares sofisticados que podem roubar credenciais e dados sensíveis, representando um risco significativo para as organizações afetadas.