Malware

A empresa de segurança em nuvem Zscaler identificou 77 aplicativos maliciosos na Google Play Store, que juntos somavam 19 milhões de downloads. A maioria desses aplicativos se disfarçava como ferramentas utilitárias ou de personalização, mas continha malwares, incluindo o trojan Anatsa, que rouba dados bancários. Essa versão do Anatsa é capaz de detectar teclas digitadas, ler e enviar SMS, e evitar detecções. Além disso, 66% dos aplicativos eram adware, enquanto 25% continham o malware Joker, que pode acessar mensagens, tirar prints de tela e cadastrar usuários em serviços pagos sem autorização. Os aplicativos maliciosos afetaram até 831 instituições em todo o mundo, incluindo bancos e operadores de criptomoedas. Após a análise, a Google removeu os aplicativos da loja. Para se proteger, é recomendado ativar o Play Protect e ter cautela ao baixar aplicativos, confiando apenas em publicadores de boa reputação e limitando permissões desnecessárias.

Pesquisadores de segurança da Truesec descobriram uma campanha em larga escala que distribui um editor de PDF malicioso chamado AppSuite PDF Editor, que serve como mecanismo de entrega para o malware TamperedChef, que rouba informações. A operação utilizou táticas agressivas de publicidade, incluindo anúncios no Google, para atrair usuários desavisados a baixar o utilitário trojanizado. O instalador, disfarçado como PDF Editor.exe, possui assinaturas hash conhecidas e, ao ser executado, exibe um acordo de licença padrão antes de se conectar a um servidor remoto para buscar um executável secundário. Uma vez instalado, o malware coleta dados sensíveis, visando bancos de dados de credenciais de navegadores, e interrompe processos de navegadores como Chrome e Edge para acessar credenciais e cookies armazenados. A campanha destaca os riscos de baixar software aparentemente inofensivo de fornecedores desconhecidos, utilizando certificados digitais confiáveis para ocultar a intenção maliciosa. Especialistas em segurança recomendam vigilância na verificação de software e relatar campanhas suspeitas para mitigar futuros ataques.

O Departamento do Tesouro dos EUA anunciou novas sanções contra dois indivíduos e duas entidades ligadas ao esquema de trabalhadores de tecnologia da informação (TI) da Coreia do Norte, que visa gerar receitas ilícitas para programas de armas de destruição em massa. As sanções atingem Vitaliy Sergeyevich Andreyev, Kim Ung Sun, a Shenyang Geumpungri Network Technology Co., Ltd e a Korea Sinjin Trading Corporation. O esquema, que já é monitorado há anos, envolve a infiltração de trabalhadores de TI norte-coreanos em empresas legítimas nos EUA, utilizando documentos fraudulentos e identidades roubadas. Além disso, a operação tem se apoiado em ferramentas de inteligência artificial para criar perfis profissionais convincentes e realizar trabalhos técnicos. O Departamento do Tesouro destacou que Andreyev facilitou transferências financeiras significativas para a Chinyong Information Technology Cooperation Company, que já havia sido sancionada anteriormente. O uso de IA por esses atores levanta preocupações sobre a segurança cibernética, especialmente para empresas que podem ser alvos de fraudes e extorsões. O impacto dessas atividades é significativo, com lucros estimados em mais de um milhão de dólares desde 2021.

Um novo grupo de ciberataques, conhecido como ShadowSilk, tem como alvo entidades governamentais na Ásia Central e na região Ásia-Pacífico. De acordo com a Group-IB, cerca de trinta vítimas foram identificadas, com as intrusões focadas principalmente na exfiltração de dados. O grupo compartilha ferramentas e infraestrutura com outros grupos de ameaças, como YoroTrooper e Silent Lynx. As vítimas incluem organizações governamentais de países como Uzbequistão, Quirguistão e Paquistão, além de setores como energia e transporte.

Pesquisadores de cibersegurança identificaram cinco grupos de atividades associados ao ator de ameaça persistente conhecido como Blind Eagle, que operou entre maio de 2024 e julho de 2025, principalmente visando entidades do governo colombiano. A empresa Recorded Future Insikt Group, que monitora essas atividades sob a designação TAG-144, observou que os ataques utilizam técnicas como trojans de acesso remoto (RATs) e engenharia social via phishing. Os alvos incluem autoridades judiciais e fiscais, além de setores como finanças, energia e saúde. Os ataques frequentemente utilizam e-mails fraudulentos que imitam agências governamentais locais, levando as vítimas a abrir documentos maliciosos. A infraestrutura de comando e controle do grupo é complexa, utilizando endereços IP de provedores colombianos e serviços de DNS dinâmico para ocultar suas operações. Recentemente, o grupo tem utilizado scripts em PowerShell para implantar RATs como Lime RAT e AsyncRAT. A análise indica que cerca de 60% das atividades do Blind Eagle focaram no setor governamental, levantando questões sobre suas motivações, que podem incluir espionagem estatal além de objetivos financeiros.

Pesquisadores de segurança da Zscaler ThreatLabs identificaram 77 aplicativos maliciosos na Google Play Store, que foram baixados mais de 19 milhões de vezes. A maioria desses aplicativos, cerca de 25%, estava associada ao malware Joker, que pode enviar mensagens de texto, capturar telas, fazer chamadas telefônicas e roubar informações sensíveis dos usuários. Além do Joker, variantes como Harly e o trojan bancário Anatsa também foram detectados, sendo que este último pode roubar credenciais de login de mais de 800 aplicativos bancários e de criptomoedas. Os aplicativos maliciosos, descritos como “maskware”, funcionam normalmente, mas em segundo plano realizam atividades prejudiciais. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis, ativar o Play Protect, verificar as avaliações e permissões solicitadas pelos aplicativos antes da instalação. Essa situação evidencia que mesmo a Google Play Store, considerada uma fonte segura, não é imune a ameaças.

Um novo malware, conhecido como Shamos, está ameaçando usuários de MacBooks ao se disfarçar como uma solução de problemas para o sistema operacional da Apple. Desenvolvido pelo grupo hacker COOKIE SPIDER, o Shamos é uma variante do Atomic macOS Stealer (AMOS) e tem como objetivo roubar dados sensíveis, incluindo credenciais armazenadas em navegadores como Safari, itens do Keychain, notas do Apple Notes e informações de carteiras de criptomoedas.

As vítimas são atraídas por meio de malvertising, que apresenta anúncios maliciosos como se fossem links legítimos. Além disso, repositórios falsos no GitHub são utilizados para induzir os usuários a executar comandos no terminal do macOS, que, na verdade, instalam o malware. O processo envolve a execução de comandos que removem a sinalização de quarentena e tornam o arquivo executável, contornando o Gatekeeper, a ferramenta de segurança do macOS.

Pesquisadores da Trellix identificaram um novo ataque direcionado a usuários de Linux, que utiliza phishing por e-mail para disseminar malware. O ataque se destaca pelo uso de um arquivo RAR com um nome malicioso, que injeta comandos shell e arquivos bash codificados em Base64. O malware, denominado VShell, cria um backdoor que permite o controle remoto do sistema infectado. O ataque explora uma vulnerabilidade comum em scripts shell, onde os nomes de arquivos não são devidamente verificados pelos antivírus, permitindo que o malware passe despercebido. Os criminosos utilizam engenharia social, enviando e-mails que se disfarçam de pesquisas de produtos de beleza, oferecendo recompensas em dinheiro para atrair as vítimas a baixar o arquivo malicioso. Para se proteger, é recomendado desconfiar de recompensas financeiras em e-mails de remetentes desconhecidos e evitar baixar arquivos sem verificar sua origem e conteúdo.

A equipe de pesquisa zLabs da Zimperium revelou uma evolução significativa do trojan bancário Hook para Android, agora na versão Hook v3, que incorpora 107 comandos remotos, sendo 38 novos recursos que ampliam suas capacidades. Entre as inovações mais preocupantes estão as sobreposições de estilo ransomware, que exibem mensagens de extorsão em tela cheia com detalhes de pagamento em criptomoeda, e um mecanismo agressivo de bypass de tela de bloqueio, que engana as vítimas a inserirem suas credenciais. Além disso, o malware pode exibir uma tela de escaneamento NFC falsa para roubar dados de pagamento sensíveis.

A campanha de malware ZipLine, monitorada pela Check Point Research, está transformando o cenário de ataques de engenharia social contra organizações críticas de manufatura e cadeia de suprimentos nos Estados Unidos. Diferente do phishing convencional, a ZipLine inicia com os atacantes enviando consultas através de formulários de contato corporativos, permitindo que a vítima inicie trocas de e-mails sem suspeitas. Após estabelecer um relacionamento, os atacantes introduzem motivos comerciais plausíveis e enviam um arquivo ZIP que contém arquivos legítimos e um arquivo LNK malicioso. Este arquivo aciona uma cadeia de execução em PowerShell que busca uma string específica, extrai um script embutido e o executa na memória, evitando a detecção de endpoints. O MixShell, um implante em memória, realiza operações de comando e controle via registros DNS, utilizando subdomínios especialmente criados para minimizar a visibilidade do tráfego. A campanha visa empresas de manufatura, biotecnologia, eletrônicos e energia, destacando a necessidade de monitoramento rigoroso das comunicações de entrada e a adoção de estratégias de detecção em múltiplas camadas para prevenir esses ataques avançados.

Uma nova campanha de cibercrime, chamada ShadowCaptcha, foi identificada em agosto de 2025, explorando mais de 100 sites WordPress comprometidos. Os atacantes redirecionam visitantes para páginas falsas de verificação CAPTCHA, utilizando táticas de engenharia social para instalar malware, incluindo ladrões de informações, ransomware e mineradores de criptomoedas. A campanha combina engenharia social, uso de binários legítimos e entrega de payloads em múltiplas etapas, visando coletar dados sensíveis e gerar lucros ilícitos. Os ataques começam com a injeção de código JavaScript malicioso em sites WordPress, levando os usuários a páginas falsas que imitam serviços como Cloudflare ou Google. Dependendo das instruções exibidas, os usuários podem ser induzidos a executar comandos maliciosos que resultam na instalação de ransomware ou ladrões de dados. A maioria dos sites afetados está localizada em países como Brasil, Austrália e Itália, e os atacantes provavelmente exploraram vulnerabilidades conhecidas em plugins do WordPress. Para mitigar os riscos, é crucial treinar os usuários sobre campanhas de ClickFix, segmentar redes e manter os sites WordPress atualizados com autenticação multifatorial.

Pesquisadores em cibersegurança alertam sobre uma sofisticada campanha de engenharia social, denominada ZipLine, que visa empresas de manufatura críticas para a cadeia de suprimentos. Utilizando um malware em memória chamado MixShell, os atacantes iniciam contato por meio de formulários de ‘Contato’ em sites corporativos, enganando funcionários e estabelecendo conversas profissionais que podem durar semanas. Após esse período, enviam arquivos ZIP armados com o malware. Os alvos principais incluem empresas de manufatura industrial, biotecnologia e farmacêuticas, com foco em entidades baseadas nos EUA, mas também atingindo países como Singapura, Japão e Suíça. O ZipLine se destaca por evitar táticas de medo, utilizando uma abordagem paciente que se aproveita da confiança nas comunicações empresariais. O MixShell é projetado para executar comandos remotamente e infiltrar redes de forma discreta, utilizando técnicas avançadas de evasão. A campanha representa riscos significativos, incluindo roubo de propriedade intelectual e ataques de ransomware, exigindo que as empresas adotem defesas proativas e uma cultura de vigilância.

Pesquisadores de cibersegurança identificaram uma nova variante do trojan bancário HOOK, que agora incorpora telas de sobreposição no estilo ransomware para extorquir vítimas. Essa variante é capaz de exibir uma tela de alerta em tela cheia, que apresenta uma mensagem alarmante de ‘AVISO’, juntamente com um endereço de carteira e um valor, ambos recuperados dinamicamente de um servidor de comando e controle (C2). O ataque é iniciado remotamente quando o comando ‘ransome’ é enviado pelo servidor C2, e o atacante pode remover a sobreposição com o comando ‘delete_ransome’.

Um relatório da Microsoft revelou que hackers estão utilizando uma versão modificada do aplicativo desktop do ChatGPT para disseminar um trojan de acesso remoto conhecido como Pipemagic. Este malware, desenvolvido pelo grupo de cibercriminosos Storm-2460, tem como alvo setores como imobiliário, financeiro e tecnológico em várias regiões, incluindo América do Sul, América do Norte, Europa e Oriente Médio. A gravidade da situação é acentuada pela combinação de um backdoor modular, que permite acesso direto aos sistemas comprometidos, e uma vulnerabilidade zero-day (CVE-2025-29824) no Windows, que ainda não possui correção. A Kaspersky também alertou sobre a campanha, destacando casos na Arábia Saudita e na Ásia. Os ataques podem resultar no vazamento de dados pessoais, credenciais e informações financeiras, além da instalação de ransomware que criptografa arquivos e exige pagamento para recuperação. A recomendação é que os usuários evitem baixar arquivos ou executar programas de fontes desconhecidas, especialmente aqueles que imitam softwares populares como o ChatGPT.

O grupo de ameaças conhecido como UNC6384, vinculado à China, tem sido responsável por uma série de ataques direcionados a diplomatas no Sudeste Asiático e outras entidades globais, com o objetivo de promover os interesses estratégicos de Pequim. A campanha, detectada em março de 2025, utiliza técnicas avançadas de engenharia social, incluindo certificados de assinatura de código válidos e ataques do tipo adversário-no-meio (AitM), para evitar a detecção. O ataque começa com um redirecionamento de portal cativo que desvia o tráfego da web para um site controlado pelo atacante, onde um downloader chamado STATICPLUGIN é baixado. Este downloader, que se disfarça como uma atualização de plugin da Adobe, instala um backdoor conhecido como SOGU.SEC, que permite a exfiltração de arquivos e o controle remoto do sistema. O uso de certificados válidos e técnicas de engenharia social sofisticadas demonstra a evolução das capacidades operacionais do UNC6384. Este tipo de ataque representa uma ameaça significativa, especialmente para organizações que operam em setores sensíveis, como diplomacia e segurança nacional.

Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.

Pesquisadores em cibersegurança alertam sobre campanhas que exploram vulnerabilidades conhecidas, expondo servidores Redis a atividades maliciosas, como botnets IoT e mineração de criptomoedas. A exploração da vulnerabilidade CVE-2024-36401, com uma pontuação CVSS de 9.8, permite que criminosos implantem kits de desenvolvimento de software (SDKs) legítimos ou aplicativos modificados para gerar renda passiva através do compartilhamento de rede. Os atacantes têm acessado instâncias do GeoServer expostas na internet desde março de 2025, utilizando um servidor de compartilhamento de arquivos privado para distribuir executáveis personalizados. Esses aplicativos consomem poucos recursos e monetizam a largura de banda dos usuários sem a necessidade de malware tradicional.

Uma nova análise revela que dezenas de milhares de servidores Redis em todo o mundo estão vulneráveis a uma campanha avançada de cryptojacking, orquestrada pelo grupo de ameaças TA-NATALSTATUS. Este ataque evoluiu para além da simples mineração de criptomoedas, visando a tomada de controle de infraestrutura de forma persistente e furtiva. A campanha explora instâncias Redis expostas para implantar malware sofisticado que oculta processos e ofusca comandos, mantendo persistência a longo prazo por meio de técnicas semelhantes a rootkits.

Pesquisadores de segurança da GoDaddy revelaram uma operação sofisticada de um Sistema de Direcionamento de Tráfego (TDS) que utiliza sites WordPress comprometidos para distribuir fraudes de suporte técnico desde 2017. Nomeada Help TDS, essa operação infectou cerca de 10.000 sites WordPress globalmente por meio de um plugin malicioso disfarçado de uma extensão legítima do WooCommerce. A operação se especializa na criação de alertas de segurança falsos do Microsoft Windows, utilizando técnicas avançadas de manipulação de navegador para prender as vítimas em páginas de golpe. Esses alertas falsos empregam funções JavaScript em tela cheia para ocultar elementos de navegação e implementar mecanismos de prevenção de saída, criando a ilusão de avisos de segurança legítimos. O plugin malicioso, denominado ‘woocommerce_inputs’, evoluiu rapidamente, introduzindo funcionalidades de coleta de credenciais e filtragem avançada de tráfego. A versão mais recente, 2.0.0, apresenta um design orientado a objetos e capacidades de atualização autônoma, permitindo que os atacantes mantenham operações persistentes. A operação exemplifica a evolução dos serviços cibernéticos criminosos, que se tornam cada vez mais sofisticados e orientados a serviços, maximizando as taxas de conversão de vítimas por meio de técnicas comprovadas de engenharia social.

Pesquisadores em cibersegurança identificaram uma nova cadeia de ataque que utiliza e-mails de phishing para entregar um backdoor de código aberto chamado VShell. O ataque começa com um e-mail contendo um arquivo RAR malicioso, que inclui um nome de arquivo projetado para executar comandos no shell. O nome do arquivo contém código compatível com Bash, que é ativado quando o shell tenta interpretar o nome do arquivo. Essa técnica de injeção de comandos se aproveita de uma falha comum em scripts shell, permitindo que o malware seja executado sem ser detectado por antivírus, já que esses geralmente não escaneiam nomes de arquivos. Após a execução, o malware se comunica com um servidor de comando e controle para baixar um binário ELF, que então executa o VShell, um poderoso malware de acesso remoto. O ataque é disfarçado como um convite para uma pesquisa de produtos de beleza, atraindo vítimas com uma recompensa monetária. A análise destaca a evolução perigosa na entrega de malware Linux, onde um simples nome de arquivo pode ser usado para executar comandos arbitrários, representando uma ameaça significativa para dispositivos Linux em geral.

Davis Lu, um cidadão chinês de 55 anos, foi condenado a quatro anos de prisão por sabotagem em sua antiga empresa, onde atuava como desenvolvedor de software. Lu introduziu malware personalizado que causou falhas nos sistemas e implementou um ‘kill switch’ que bloqueava o acesso de outros funcionários quando sua conta era desativada. O ataque ocorreu após uma reestruturação em 2018 que reduziu suas responsabilidades e acesso ao sistema. Lu criou loops infinitos em código Java, resultando em quedas de servidores e impediu logins de usuários. Além disso, ele deletou perfis de colegas e tentou apagar dados críticos no dia em que foi instruído a devolver seu laptop. As ações de Lu resultaram em perdas estimadas em centenas de milhares de dólares para a empresa. O caso destaca a importância de identificar ameaças internas precocemente, conforme ressaltado pelo FBI.

Recentemente, a Mandiant, empresa de cibersegurança pertencente ao Google, revelou que um grupo de ameaças, identificado como UNC5518, está utilizando uma técnica de engenharia social chamada ClickFix para implantar um backdoor versátil conhecido como CORNFLAKE.V3. O ataque começa quando usuários são atraídos para páginas falsas de verificação CAPTCHA, onde são induzidos a executar um script PowerShell malicioso. Este script permite que os atacantes acessem os sistemas das vítimas e implantem cargas adicionais. O CORNFLAKE.V3, que é uma versão atualizada de um backdoor anterior, suporta a execução de diversos tipos de payloads e coleta informações do sistema, transmitindo-as para servidores externos através de túneis do Cloudflare, dificultando a detecção. Além disso, a Mandiant também destacou uma campanha em andamento que utiliza drives USB infectados para implantar mineradores de criptomoedas, demonstrando a eficácia contínua desse vetor de ataque. Para mitigar esses riscos, recomenda-se que as organizações desativem o diálogo de execução do Windows e realizem simulações regulares de engenharia social.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo carregador de malware chamado QuirkyLoader, utilizado em campanhas de spam por e-mail desde novembro de 2024. Este malware tem sido responsável pela entrega de diversos tipos de payloads, incluindo ladrões de informações e trojans de acesso remoto, como Agent Tesla e AsyncRAT. As campanhas envolvem o envio de e-mails maliciosos que contêm arquivos compactados com um DLL, um payload criptografado e um executável legítimo. A técnica de side-loading de DLL é utilizada para carregar o malware, injetando-o em processos legítimos como AddInProcess32.exe e InstallUtil.exe. Em julho de 2025, duas campanhas foram observadas, uma direcionada a funcionários da Nusoft Taiwan e outra aleatória no México. Além disso, novas táticas de phishing, como o uso de QR codes maliciosos, estão sendo empregadas para contornar medidas de segurança. Essas ameaças representam um risco significativo, especialmente para organizações que utilizam serviços de e-mail comuns, pois podem comprometer dados sensíveis e a segurança da informação.

Pesquisadores de cibersegurança da Kaspersky descobriram que hackers estão utilizando o Skype para disseminar um novo malware chamado GodRAT, que se disfarça como documentos financeiros. O ataque, que afeta principalmente pequenas e médias empresas (PMEs) no Oriente Médio, envolve o uso de arquivos de protetor de tela maliciosos que, por meio de esteganografia, ocultam um código que baixa o GodRAT de um servidor externo. Uma vez instalado, o malware coleta informações do sistema operacional e pode receber plugins adicionais, como exploradores de arquivos e ladrões de senhas. O GodRAT é considerado uma evolução de um malware anterior, o AwesomePuppet, e sua descoberta ressalta a relevância contínua de ferramentas conhecidas no cenário atual de cibersegurança. Embora a Kaspersky não tenha divulgado o número exato de vítimas, enfatizou que a maioria delas está localizada em países como Emirados Árabes Unidos, Hong Kong, Jordânia e Líbano. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger as empresas contra tais ameaças.

O RingReaper é uma nova variante de malware que ataca ambientes Linux, apresentando capacidades avançadas de evasão que desafiam as soluções tradicionais de detecção e resposta em endpoints (EDR). Identificado como um agente pós-exploração, o malware utiliza a interface de entrada/saída assíncrona moderna do kernel Linux, chamada io_uring, para realizar operações encobertas sem ser detectado por ferramentas de monitoramento de segurança. Ao invés de utilizar chamadas de sistema convencionais, o RingReaper emprega primitivas do io_uring, o que reduz sua visibilidade nos dados de telemetria que as ferramentas de segurança analisam.

Pesquisadores de segurança da BI.ZONE Threat Intelligence revelaram uma campanha sofisticada do grupo de ameaças Paper Werewolf, que explorou uma vulnerabilidade conhecida e uma falha zero-day no software de arquivamento WinRAR. As investigações, realizadas em julho de 2025, mostraram que os atacantes, que se disfarçaram como representantes de instituições de pesquisa e ministérios do governo da Rússia, distribuíram arquivos RAR maliciosos através de contas de e-mail legítimas comprometidas. A vulnerabilidade CVE-2025-6218 permitiu a execução remota de código, extraindo arquivos para diretórios não intencionais e colocando um executável modificado no diretório de inicialização do Windows, estabelecendo uma conexão reversa com um servidor de comando e controle. Além disso, uma nova vulnerabilidade zero-day foi identificada, permitindo que cargas maliciosas fossem escritas em diretórios do sistema durante a extração de arquivos. Essa campanha destaca a eficácia contínua dos métodos de entrega de malware baseados em arquivos compactados, sublinhando a importância de manter softwares atualizados e implementar soluções de monitoramento de segurança abrangentes.

O malware conhecido como noodlophile está se tornando cada vez mais sofisticado em suas táticas de infecção, utilizando e-mails de notificação do Facebook para enganar usuários. Essa técnica, chamada spear-phishing, se baseia em engenharia social para criar mensagens que parecem extremamente legítimas. O objetivo principal do noodlophile é roubar informações armazenadas nos navegadores, incluindo cookies, histórico de navegação e senhas de serviços online. A fraude se apresenta como uma notificação de violação de direitos autorais, imitando nomes de empresas e IDs de páginas que o usuário administra, o que aumenta a credibilidade do golpe.

O Python Package Index (PyPI) está adotando medidas para prevenir ataques de ‘ressurreição de domínios’, uma técnica utilizada por cibercriminosos para explorar a confiança dos usuários em pacotes legítimos. Esses ataques ocorrem quando um criminoso registra um domínio que anteriormente pertencia a um mantenedor de pacote legítimo, mas que expirou. Com o domínio ressuscitado, o atacante pode receber e-mails de redefinição de senha e enviar atualizações maliciosas para os usuários que confiam no pacote. Para mitigar esse risco, o PyPI começou a verificar domínios expirados, dificultando o acesso não autorizado às contas dos mantenedores. Desde junho de 2025, quase 2.000 endereços de e-mail foram desverificados. Embora essa ação não elimine todos os problemas de segurança do PyPI, ela representa um avanço significativo. Além disso, o PyPI recomenda que os usuários ativem a autenticação de dois fatores (2FA) e adicionem um segundo e-mail verificado para aumentar a segurança de suas contas.

Um novo ataque cibernético está direcionando instituições financeiras, como corretoras e empresas de trading, utilizando um trojan de acesso remoto chamado GodRAT. Este malware, que foi identificado pela Kaspersky, se disfarça como arquivos de documentos financeiros, sendo distribuído via Skype na forma de arquivos .SCR (screensaver). Os ataques, que começaram a ser observados em setembro de 2024, utilizam técnicas de esteganografia para ocultar código malicioso dentro de arquivos de imagem, permitindo o download do GodRAT a partir de um servidor de comando e controle (C2).

Um novo relatório do Trellix Advanced Research Center revelou uma operação de espionagem sofisticada ligada aos hackers Kimsuky, da Coreia do Norte, que exploraram a plataforma GitHub para implantar o malware XenoRAT em embaixadas ao redor do mundo. Entre março e julho de 2025, foram realizados pelo menos 19 ataques de spear-phishing direcionados a missões diplomáticas, principalmente na Coreia do Sul. Os atacantes utilizaram táticas de engenharia social altamente credíveis, se passando por contatos diplomáticos confiáveis e enviando e-mails com convites para eventos oficiais.

Cibercriminosos estão explorando a demanda por jogos piratas para disseminar malware avançado que consegue contornar mecanismos de segurança robustos, como o Microsoft Defender SmartScreen e bloqueadores de anúncios populares, como o uBlock Origin. A análise revela uma cadeia de infecção enganosa que expõe os usuários a uma família sofisticada de malware chamada HijackLoader.

O processo de infecção começa quando os usuários acessam fóruns de pirataria ou resultados de busca no Google que prometem downloads seguros, frequentemente com alegações da comunidade de que os bloqueadores de anúncios garantem segurança. No entanto, a jornada de download se transforma em um labirinto de redirecionamentos, culminando em um arquivo hospedado no MEGA. Mesmo com o uBlock Origin instalado, esses redirecionamentos maliciosos não são bloqueados, evidenciando a proteção limitada oferecida pelos bloqueadores de anúncios.

O malware Noodlophile, ativo há mais de um ano, está sendo utilizado por cibercriminosos para realizar ataques direcionados a empresas nos EUA, Europa, países Bálticos e na região Ásia-Pacífico. Os atacantes estão empregando e-mails de spear-phishing disfarçados de notificações de infração de direitos autorais, que incluem detalhes específicos sobre as vítimas, como IDs de páginas do Facebook e informações sobre a propriedade das empresas. A campanha evoluiu, utilizando vulnerabilidades de software legítimas e mecanismos de entrega mais sofisticados, como o uso de grupos no Telegram para ocultar a localização do servidor que hospeda o malware. Os e-mails fraudulentos induzem um senso de urgência, levando os funcionários a baixar e executar arquivos maliciosos que, por sua vez, instalam o Noodlophile, um stealer que coleta dados de navegadores e informações do sistema. O código-fonte do malware sugere que os desenvolvedores estão continuamente aprimorando suas capacidades, incluindo captura de tela e keylogging. A campanha destaca a vulnerabilidade de empresas com forte presença em redes sociais, especialmente no Facebook, e representa uma ameaça crescente para a segurança cibernética.

Pesquisadores de cibersegurança da Zscaler ThreatLabz descobriram um sofisticado ataque à cadeia de suprimentos que visa desenvolvedores Python por meio de um pacote malicioso. O ataque, identificado em 22 de julho de 2025, utiliza um pacote aparentemente benigno chamado ’termncolor’, que importa uma dependência maliciosa chamada ‘colorinal’. Após a instalação, o malware executa um arquivo que carrega uma DLL maliciosa, permitindo a execução de código malicioso disfarçado de um executável legítimo. Para garantir a persistência, o malware cria uma entrada no registro do Windows, assegurando que o executável malicioso seja executado automaticamente em cada inicialização do sistema. Além disso, o malware realiza reconhecimento do sistema e se comunica com um servidor de comando e controle utilizando tráfego HTTPS, dificultando a detecção. O ataque também possui uma variante para sistemas Linux. Embora os pacotes maliciosos tenham sido removidos do Python Package Index (PyPI), o incidente destaca os riscos contínuos de compromissos na cadeia de suprimentos em ecossistemas de código aberto. Organizações devem implementar soluções de monitoramento e varredura de pacotes para detectar tais ameaças antes que se tornem persistentes.

Pesquisadores de cibersegurança descobriram uma campanha de malware sofisticada chamada “Solana-Scan”, que visa especificamente desenvolvedores de criptomoedas no ecossistema Solana por meio de pacotes npm maliciosos. A campanha, que começou em 15 de agosto de 2025, afeta principalmente desenvolvedores russos e utiliza técnicas avançadas de roubo de informações para coletar credenciais de criptomoedas e arquivos de carteira. Três pacotes npm maliciosos foram identificados: “solana-pump-test”, “solana-spl-sdk” e “solana-pump-sdk”, que se disfarçaram como ferramentas legítimas de escaneamento do SDK Solana. O malware executa um payload em duas etapas, coletando dados ambientais e, em seguida, escaneando sistemas comprometidos em busca de arquivos sensíveis. Os dados roubados são enviados para um servidor de comando e controle nos EUA, que expõe informações das vítimas, levantando questões sobre possível envolvimento estatal. A detecção desse tipo de ataque é desafiadora para ferramentas tradicionais de segurança, e recomenda-se que as organizações implementem soluções de escaneamento de pacotes em tempo real e mantenham inventários de dependências atualizados.

Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) chamado termncolor, que utiliza uma dependência chamada colorinal para executar um ataque em múltiplas etapas. O termncolor foi baixado 355 vezes, enquanto colorinal teve 529 downloads antes de serem removidos do PyPI. O ataque permite a execução remota de código e a persistência do malware por meio de um registro no Windows. O malware também pode infectar sistemas Linux, utilizando um arquivo compartilhado chamado terminate.so. A análise da atividade do autor do malware revelou que ele está ativo desde 10 de julho de 2025, e a comunicação com o servidor de comando e controle (C2) é realizada através do Zulip, um aplicativo de chat de código aberto. Além disso, um relatório da SlowMist alerta que desenvolvedores estão sendo alvo de ataques disfarçados de avaliações de emprego, levando à clonagem de repositórios do GitHub com pacotes npm maliciosos. Esses pacotes têm a capacidade de roubar dados sensíveis, como credenciais e informações de carteiras de criptomoedas. A situação destaca a necessidade de monitoramento constante dos ecossistemas de código aberto para evitar ataques à cadeia de suprimentos.

Recentemente, o Brasil tem enfrentado um aumento significativo em fraudes móveis, destacando-se o trojan PhantomCard, que utiliza comunicação de campo próximo (NFC) para realizar ataques de relay em transações bancárias. Usuários que instalam aplicativos maliciosos são induzidos a colocar seus cartões de crédito ou débito na parte traseira do celular, permitindo que os dados sejam enviados a servidores controlados por atacantes. Além disso, duas falhas de segurança na plataforma N-able N-central foram exploradas ativamente, permitindo execução de comandos e injeção de comandos, com patches já disponíveis. O grupo de ameaças Curly COMrades também foi identificado, visando entidades na Geórgia e Moldávia, alinhado com estratégias geopolíticas russas. Por fim, a descoberta de backdoors em imagens do Docker relacionadas ao XZ Utils ressalta a importância de utilizar imagens atualizadas para evitar riscos de segurança. O artigo destaca a necessidade de ações rápidas e claras para mitigar riscos em um cenário de cibersegurança em constante evolução.

Pesquisadores em cibersegurança estão observando um preocupante ressurgimento de malwares clássicos do tipo cavalo de Troia, impulsionados por Modelos de Linguagem de Grande Escala (LLMs). Esses novos malwares, como JustAskJacky e TamperedChef, utilizam funcionalidades legítimas para se disfarçar, dificultando a detecção por métodos tradicionais. A evolução das ferramentas de desenvolvimento baseadas em IA permitiu que ameaçadores criassem códigos sofisticados que evitam sistemas de detecção baseados em assinaturas. Por exemplo, o TamperedChef permaneceu indetectado no VirusTotal por seis semanas, mesmo após ser desempacotado. As aplicações que promovem esses trojans apresentam uma aparência extremamente legítima, com sites profissionais e conteúdo convincente. Isso torna a análise comportamental crucial, já que a intuição do usuário sobre sites suspeitos não é mais suficiente. Em vez disso, técnicas de análise dinâmica e comportamental são necessárias para identificar padrões de comportamento suspeitos, como os observados no JustAskJacky. A combinação de técnicas clássicas de engano com a sofisticação moderna representa uma mudança significativa no cenário de ameaças, exigindo que organizações e usuários individuais adaptem suas estratégias de segurança.

Um recente vazamento de dados, publicado na revista Phrack, revelou um conjunto de malware sofisticado para Linux, associado a um grupo de ameaças supostamente alinhado ao governo norte-coreano. O vazamento, que parece ter origem em uma violação da infraestrutura dos atacantes, expõe táticas operacionais avançadas utilizadas contra organizações governamentais e do setor privado da Coreia do Sul e Taiwan. O malware em questão é um rootkit baseado em um módulo de kernel carregável (LKM), projetado para evitar a detecção tradicional e garantir acesso persistente e oculto a sistemas Linux. Entre suas características estão a ocultação de módulos, evasão de processos e redes, e técnicas anti-forense que dificultam a reconstrução de atividades. Os pesquisadores de segurança alertam que as defesas tradicionais são insuficientes para detectar tais ameaças, e recomendam que, se um sistema for comprometido a nível de kernel, ele deve ser isolado e reconstruído imediatamente. Este incidente destaca a crescente sofisticação das operações ligadas ao estado norte-coreano, que utilizam técnicas de stealth em nível de kernel para infiltrar redes sem serem detectados.

Um novo ataque cibernético está em andamento, onde hackers estão utilizando um site falso do Telegram Premium para disseminar o malware Lumma Stealer. O domínio telegrampremium[.]app imita a marca legítima e, ao ser acessado, baixa automaticamente um arquivo executável chamado start.exe, sem a necessidade de qualquer interação do usuário. Este malware, desenvolvido em C/C++, é capaz de coletar dados sensíveis, como credenciais armazenadas no navegador e informações de carteiras de criptomoedas, aumentando o risco de roubo de identidade.

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.

O grupo de hackers conhecido como EncryptHub está explorando uma falha de segurança já corrigida no Microsoft Windows para disseminar malware. A Trustwave SpiderLabs identificou uma campanha que combina engenharia social e a exploração da vulnerabilidade CVE-2025-26633, também chamada de MSC EvilTwin. Os atacantes se passam por membros do departamento de TI e enviam solicitações pelo Microsoft Teams para estabelecer conexões remotas e implantar cargas maliciosas usando comandos PowerShell. Entre os arquivos utilizados, dois arquivos MSC com o mesmo nome são entregues, um benigno e outro malicioso, que ativa a vulnerabilidade. O arquivo malicioso se conecta a um servidor de comando e controle (C2) para receber e executar comandos, incluindo um stealer chamado Fickle Stealer. Além disso, os atacantes utilizam plataformas legítimas, como o Brave Support, para hospedar malware. A campanha destaca a importância de estratégias de defesa em camadas e treinamento de conscientização para usuários, dada a combinação de engenharia social e exploração técnica utilizada pelos hackers.

A equipe Lat61 de Inteligência de Ameaças da Point Wild identificou um clone malicioso do popular jogo Minecraft, chamado Eaglercraft 1.12 Offline, que contém um trojan de acesso remoto (RAT) conhecido como NjRat. Este malware permite que cibercriminosos roubem senhas, acessem webcams e microfones, e controlem máquinas infectadas sem o conhecimento do usuário. A popularidade de Minecraft, especialmente entre crianças e adolescentes, torna os jogadores alvos vulneráveis a esses ataques. O Eaglercraft é disfarçado como um launcher baseado em navegador e, ao ser executado, instala um backdoor chamado ‘WindowsServices.exe’, que se inicia automaticamente com o sistema operacional. O NjRat, que existe desde 2013, é um dos malwares mais persistentes, sendo frequentemente distribuído por e-mails de phishing e softwares piratas. A ameaça é agravada pela recente popularidade do jogo, impulsionada pelo lançamento de um filme live-action, aumentando a busca por conteúdos relacionados. A pesquisa destaca a necessidade de conscientização e precauções ao baixar jogos e aplicativos não oficiais.

Pesquisadores de segurança da Trend Micro descobriram uma nova ferramenta maliciosa, chamada RealBlindingEDR, que está sendo utilizada por um grupo de ransomware conhecido como Crypto24. Essa ferramenta é capaz de desativar a proteção de antivírus em dispositivos, permitindo que os hackers implantem malware adicional sem serem detectados. O RealBlindingEDR possui uma lista codificada de nomes de empresas de antivírus, como Trend Micro, Kaspersky e McAfee, e ao ser executado, busca esses nomes na metadata dos drivers para desativar os mecanismos de detecção. Além de desativar a proteção, a ferramenta pode desinstalar completamente os programas antivírus. Após conseguir acesso inicial, o grupo Crypto24 geralmente implanta um keylogger e um software de criptografia, exfiltrando dados roubados para o Google Drive. Embora a identidade do grupo ainda seja desconhecida, eles já atacaram várias organizações de grande porte em setores como finanças e tecnologia. Para mitigar esses riscos, especialistas recomendam uma estratégia de defesa em camadas, incluindo antivírus com proteção contra manipulação e ferramentas anti-malware adicionais.

Um novo ataque cibernético está explorando uma falha no sistema de convites do Discord, permitindo que hackers sequestram links de convites expirados para redirecionar usuários a servidores fraudulentos. Ao clicar em links antigos, as vítimas são levadas a um canal de verificação onde um bot as instrui a executar um comando PowerShell malicioso. Essa técnica, conhecida como ‘ClickFix’, engana os usuários a infectarem seus próprios sistemas com malwares como AsyncRAT e Skuld Stealer. A vulnerabilidade reside na forma como o Discord gerencia os links de convite, que, quando expirados, podem ser registrados por cibercriminosos. Pesquisadores identificaram mais de 1.300 downloads dos arquivos maliciosos, com vítimas em diversos países, incluindo Estados Unidos e Reino Unido. Para se proteger, é aconselhável desconfiar de links antigos e evitar executar comandos desconhecidos. Administradores de servidores devem priorizar o uso de links de convite permanentes, que são mais difíceis de serem sequestrados.

Pesquisadores de cibersegurança da Hunt.io descobriram e analisaram o código-fonte completo do ERMAC V3.0, um dos trojans bancários mais sofisticados para Android. O vazamento ocorreu em março de 2024, quando a equipe identificou um diretório exposto contendo o pacote completo do malware, incluindo seu backend em PHP e Laravel, frontend em React e servidor de exfiltração em Golang. O ERMAC V3.0 é capaz de atacar mais de 700 aplicativos de bancos, compras e criptomoedas globalmente, utilizando técnicas avançadas de injeção de formulários para roubar credenciais e dados financeiros. A análise revelou vulnerabilidades críticas, como segredos JWT hardcoded e credenciais padrão não alteradas, que podem ser exploradas por defensores. Além disso, o malware utiliza criptografia AES-CBC, mas com uma chave e nonce hardcoded, o que facilita sua detecção. A Hunt.io também conseguiu vincular o código vazado a operações ativas do ERMAC, destacando a necessidade urgente de medidas de segurança mais robustas contra esse tipo de ameaça.