Malware

Um novo malware chamado ‘DarkSword’ foi identificado, afetando iPhones com versões antigas do iOS, especificamente entre 18.4 e 18.7. O software malicioso é instalado remotamente através de um link em um site comprometido, permitindo que hackers coletem dados sensíveis dos usuários. A descoberta do malware ocorreu após o vazamento de seu código-fonte no GitHub, o que gerou preocupações entre especialistas em segurança. Embora os dispositivos com iOS 26 estejam protegidos, há indícios de que o desenvolvedor do malware esteja tentando criar uma versão que ataque também as versões mais recentes do sistema operacional da Apple. A Apple já recomendou que os usuários atualizem seus dispositivos para a versão mais recente do iOS e lançou atualizações para iOS 15 e 16, visando proteger aparelhos mais antigos. A situação destaca a importância de manter os sistemas operacionais atualizados para evitar a exploração de vulnerabilidades.

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que agora utiliza um framework de múltiplas etapas para roubo de dados e instalação de um trojan de acesso remoto (RAT). Este malware se disfarça como uma extensão offline do Google Docs e é capaz de registrar teclas, capturar cookies, tokens de sessão e tirar screenshots. A campanha se infiltra em sistemas através de pacotes maliciosos publicados em repositórios como npm e PyPI, e compromete contas de mantenedores de projetos para disseminar atualizações contaminadas.

Uma campanha de malvertising em larga escala, ativa desde janeiro de 2026, está direcionada a indivíduos nos EUA que buscam documentos fiscais, utilizando anúncios fraudulentos para instalar o ConnectWise ScreenConnect. Essa instalação entrega uma ferramenta chamada HwAudKiller, que utiliza a técnica de ‘bring your own vulnerable driver’ (BYOVD) para desativar programas de segurança. A pesquisa da Huntress identificou mais de 60 sessões maliciosas do ScreenConnect ligadas a essa campanha. O ataque se destaca por empregar serviços de camuflagem comercial para evitar a detecção e por abusar de um driver de áudio da Huawei, que é legítimo e assinado, para desarmar soluções de segurança. Embora os objetivos exatos da campanha não sejam claros, há indícios de que o ator da ameaça busca implantar ransomware ou monetizar o acesso obtido. O ataque começa quando usuários clicam em resultados de busca patrocinados que os direcionam a sites falsos, onde o instalador do ScreenConnect é entregue. A complexidade da campanha, que combina ferramentas comerciais e técnicas sofisticadas, destaca a crescente acessibilidade de ataques cibernéticos avançados.

O grupo de ameaças TeamPCP comprometeu o pacote Python litellm, publicando versões maliciosas (1.82.7 e 1.82.8) que contêm um coletor de credenciais, um kit de ferramentas para movimentação lateral no Kubernetes e um backdoor persistente. As versões comprometidas foram removidas do PyPI após a descoberta por empresas de segurança como Endor Labs e JFrog. O ataque é descrito como uma operação em três etapas, começando com a coleta de chaves SSH, credenciais de nuvem e segredos do Kubernetes. O código malicioso é executado automaticamente quando o pacote é importado, e a versão 1.82.8 introduz um vetor mais agressivo que permite a execução em segundo plano. Os dados coletados são enviados para um domínio de comando e controle. A campanha do TeamPCP é uma escalada deliberada de ataques à cadeia de suprimentos, afetando várias ecossistemas, incluindo GitHub Actions e Docker Hub. Especialistas alertam que a situação pode se agravar, com o grupo se comprometendo a continuar suas atividades maliciosas. Usuários são aconselhados a auditar ambientes, isolar hosts afetados e reverter para versões limpas do pacote.

Pesquisadores de cibersegurança descobriram uma nova campanha maliciosa, chamada Ghost, que utiliza pacotes npm para roubar carteiras de criptomoedas e dados sensíveis. Os pacotes, publicados por um usuário identificado como ‘mikilanjillo’, incluem nomes como ‘react-performance-suite’ e ‘coinbase-desktop-sdk’. Esses pacotes enganam os usuários ao solicitar a senha sudo durante a instalação, enquanto ocultam suas verdadeiras intenções. O processo de instalação é disfarçado com logs falsos e atrasos aleatórios, criando a ilusão de que a instalação está em andamento. Ao inserir a senha, o malware é ativado, permitindo o download de um trojan de acesso remoto que coleta dados e aguarda instruções de um servidor externo. A campanha Ghost apresenta semelhanças com outra atividade chamada GhostClaw, que também utiliza repositórios do GitHub para disseminar malware, disfarçado como ferramentas legítimas. Ambas as campanhas destacam uma nova abordagem dos atacantes, que exploram ecossistemas confiáveis para introduzir código malicioso. A situação é preocupante, pois pode impactar desenvolvedores e empresas que utilizam essas bibliotecas, especialmente no Brasil, onde o uso de tecnologias como Node.js e npm é comum.

Recentemente, dois workflows do GitHub Actions, mantidos pela empresa de segurança da cadeia de suprimentos Checkmarx, foram comprometidos por um malware conhecido como ‘TeamPCP Cloud stealer’. Este ataque, que segue a violação do scanner de vulnerabilidades Trivy, permite que os atacantes roubem credenciais e segredos relacionados a serviços como AWS, Google Cloud e Azure. O malware foi identificado como parte de um ataque em cadeia, onde as credenciais roubadas são utilizadas para comprometer ações adicionais em repositórios afetados. O CVE associado ao ataque é o CVE-2026-33634, com uma pontuação CVSS de 9.4, indicando um risco crítico. Os atacantes utilizam técnicas de engano, como domínios semelhantes aos de fornecedores legítimos, para evitar a detecção. Além disso, o malware pode se instalar de forma persistente em sistemas não-CI, aumentando o risco de novos ataques. Para mitigar essa ameaça, recomenda-se a rotação imediata de segredos e tokens, auditoria de logs e monitoramento de conexões de rede suspeitas. A situação destaca a importância da segurança em ambientes de CI/CD e a necessidade de vigilância constante contra ameaças emergentes.

O grupo de hackers TeamPCP está direcionando ataques a clusters Kubernetes com um script malicioso que apaga todos os dados de máquinas configuradas para o Irã. Este grupo é responsável por um recente ataque à cadeia de suprimentos no scanner de vulnerabilidades Trivy e por uma campanha baseada em NPM chamada ‘CanisterWorm’, que começou em 20 de março. A nova campanha utiliza o mesmo código de comando e controle (C2) e o mesmo caminho de instalação do backdoor que foram observados nos incidentes anteriores do CanisterWorm, mas com uma diferença significativa: um payload destrutivo que visa especificamente sistemas iranianos. O malware é projetado para destruir qualquer máquina que corresponda ao fuso horário e à localidade do Irã, independentemente da presença do Kubernetes. Em sistemas identificados como iranianos, o script apaga todos os diretórios principais do sistema, enquanto em outros locais, ele instala um backdoor. A Aikido, empresa de segurança de aplicações, destaca que a nova versão do malware também utiliza propagação via SSH, buscando credenciais válidas em logs de autenticação. Os pesquisadores identificaram indicadores de atividade maliciosa, como conexões SSH de saída com configurações específicas e conexões ao Docker API. Este cenário representa uma ameaça significativa, especialmente para organizações que operam em ambientes Kubernetes.

O grupo de ameaças da Coreia do Norte, conhecido como WaterPlum, está por trás da campanha Contagious Interview, que utiliza uma nova técnica de distribuição de malware chamada StoatWaffle. Essa técnica envolve o uso de projetos maliciosos do Microsoft Visual Studio Code (VS Code), especificamente através do arquivo ’tasks.json’, que ativa a execução do malware sempre que um arquivo na pasta do projeto é aberto. O malware verifica se o Node.js está instalado e, se não estiver, o baixa e instala. Em seguida, ele se conecta a um servidor externo para baixar um downloader que executa comandos maliciosos. O StoatWaffle possui dois módulos principais: um stealer que captura credenciais de navegadores e um trojan de acesso remoto (RAT) que permite o controle do sistema infectado. A campanha também inclui a distribuição de pacotes npm maliciosos e a inserção de código JavaScript em repositórios públicos do GitHub. Os atacantes utilizam processos de recrutamento falsos para enganar desenvolvedores, visando profissionais seniores em setores como criptomoedas. A Microsoft implementou medidas de mitigação para proteger os usuários do VS Code contra essa ameaça. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger sistemas de desenvolvimento.

O RPG gacha free-to-play Duet Night Abyss sofreu um ataque cibernético na última atualização, resultando na distribuição de um malware conhecido como Umbral Stealer. Este trojan é capaz de registrar teclas pressionadas, capturar imagens da webcam e roubar credenciais e criptomoedas dos jogadores. O incidente ocorreu no dia 18 de março de 2026, e a equipe do Pan Studio, responsável pelo jogo, agiu rapidamente para corrigir a vulnerabilidade, lançando uma atualização duas horas e meia após a infecção. O malware, que é uma versão antiga de 2023, foi automaticamente detectado e isolado por muitos antivírus. Como forma de compensação, a desenvolvedora ofereceu aos jogadores lootboxes, que incluem recompensas dentro do jogo. A equipe também se comprometeu a revisar a segurança do título e pediu paciência aos usuários enquanto implementam melhorias. Este incidente destaca a importância da segurança em jogos online, especialmente em plataformas populares como a Steam.

O FBI dos EUA emitiu um alerta sobre hackers iranianos associados ao Ministério da Inteligência e Segurança do Irã, que estão utilizando o Telegram como infraestrutura de comando e controle em ataques de malware. Esses ataques visam jornalistas críticos ao governo iraniano, dissidentes e grupos opositores em todo o mundo. O FBI relacionou essas atividades ao grupo hacktivista Handala e ao grupo de ameaças Homeland Justice, ambos apoiados pelo estado iraniano. Os hackers empregam engenharia social para infectar dispositivos com malware para Windows, permitindo a exfiltração de capturas de tela e arquivos de computadores comprometidos. O alerta foi emitido em um contexto de tensão geopolítica no Oriente Médio e destaca a necessidade de conscientização sobre as atividades cibernéticas maliciosas iranianas. O FBI também confiscou quatro domínios utilizados por esses grupos para vazar documentos sensíveis. Além disso, o FBI advertiu sobre campanhas de phishing direcionadas a usuários do Signal e WhatsApp por atores ligados à inteligência russa, que já comprometeram milhares de contas. Essas ameaças ressaltam a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância contínua.

O VoidStealer é um novo infostealer que utiliza uma abordagem inovadora para contornar a Application-Bound Encryption (ABE) do Google Chrome, permitindo a extração da chave mestra necessária para decifrar dados sensíveis armazenados no navegador. Essa técnica, que se baseia em breakpoints de hardware, permite que o malware acesse diretamente a memória do navegador sem necessidade de elevação de privilégios ou injeção de código. O ABE foi introduzido na versão 127 do Chrome, em junho de 2024, como uma proteção para cookies e dados sensíveis, mas já foi burlado por diversas famílias de malware. O VoidStealer, que opera como uma plataforma de malware como serviço (MaaS) desde dezembro de 2025, é o primeiro a adotar essa técnica de bypass em um ambiente real. O ataque ocorre durante a inicialização do navegador, quando a chave mestra é temporariamente acessível em texto claro. Embora a técnica tenha sido inspirada em um projeto de código aberto, sua implementação no VoidStealer representa um avanço significativo na capacidade de roubo de dados. A situação é preocupante, pois o malware pode afetar uma ampla gama de usuários do Chrome, exigindo atenção redobrada das equipes de segurança.

O scanner de vulnerabilidades Trivy, amplamente utilizado por desenvolvedores e equipes de segurança, foi alvo de um ataque supply-chain realizado pelo grupo de ameaças conhecido como TeamPCP. O ataque resultou na distribuição de malware que rouba credenciais através de versões oficiais e ações do GitHub. A vulnerabilidade foi inicialmente divulgada pelo pesquisador de segurança Paul McCarty, que alertou sobre a versão 0.69.4 do Trivy, que havia sido comprometida. Análises posteriores revelaram que quase todas as tags do repositório trivy-action no GitHub foram afetadas, permitindo que o código malicioso fosse executado automaticamente em fluxos de trabalho externos. Os atacantes conseguiram comprometer o processo de construção do GitHub, substituindo scripts legítimos por versões maliciosas. O malware coletou dados sensíveis, incluindo chaves SSH, credenciais de nuvem e arquivos de configuração, armazenando-os em um arquivo que era enviado para um servidor de comando e controle. O ataque, que durou cerca de 12 horas, expôs a necessidade urgente de as organizações que utilizaram as versões afetadas tratarem seus ambientes como totalmente comprometidos, rotacionando todas as credenciais e analisando sistemas para possíveis compromissos.

Os roteadores, muitas vezes negligenciados pelos usuários, são alvos preferenciais para hackers devido à sua posição central na rede doméstica. Ao comprometer um roteador, os cibercriminosos podem monitorar e manipular todo o tráfego de dados que passa por ele, sem a necessidade de invadir cada dispositivo individualmente. Um exemplo recente é o malware DKnife, que opera silenciosamente desde 2019, permitindo que hackers interceptem conexões e redirecionem usuários para sites falsos, como páginas de bancos, onde podem roubar credenciais. Além disso, o malware pode substituir downloads legítimos por versões infectadas, aumentando ainda mais o risco. A falta de proteção nos roteadores, que não possuem antivírus ou alertas visíveis, torna essa vulnerabilidade ainda mais crítica. Para proteger sua rede, é essencial que os usuários atualizem regularmente o firmware do roteador, alterem senhas padrão e utilizem firewalls adequados. A segurança da rede depende da proteção do elo mais fraco, que neste caso é o roteador.

Um ataque à cadeia de suprimentos visando o popular scanner Trivy resultou na infecção de diversos pacotes npm por um novo malware chamado CanisterWorm. Este worm se propaga automaticamente e utiliza um canister da Internet Computer blockchain como ponto de controle. O ataque foi atribuído ao grupo criminoso TeamPCP, que publicou versões maliciosas do Trivy contendo um ladrão de credenciais. A infecção ocorre através de um hook postinstall que executa um loader, instalando um backdoor em Python que se conecta ao canister para buscar novos payloads. O malware é projetado para ser resiliente, utilizando um serviço systemd que reinicia automaticamente o backdoor. Além disso, uma nova variante do CanisterWorm foi identificada, que se propaga sem intervenção manual, coletando tokens npm do ambiente do desenvolvedor. A situação é crítica, pois cada desenvolvedor que instala pacotes infectados pode se tornar um vetor de propagação, ampliando o alcance do ataque. Este incidente destaca a vulnerabilidade dos sistemas de gerenciamento de pacotes e a necessidade urgente de medidas de segurança mais robustas.

O Trivy, um scanner de vulnerabilidades de código aberto mantido pela Aqua Security, sofreu sua segunda violação em um mês, resultando na entrega de malware que rouba segredos sensíveis de CI/CD. O incidente mais recente afetou as ações do GitHub ‘aquasecurity/trivy-action’ e ‘aquasecurity/setup-trivy’, utilizadas para escanear imagens de contêiner Docker e configurar fluxos de trabalho no GitHub. Um atacante forçou a modificação de 75 das 76 tags de versão no repositório ‘aquasecurity/trivy-action’, transformando referências de versões confiáveis em um mecanismo de distribuição para um infostealer. O malware, que opera em três etapas, busca extrair segredos valiosos de ambientes de CI/CD, como chaves SSH e credenciais de provedores de serviços em nuvem. O ataque é atribuído a um grupo conhecido como TeamPCP, que se especializa em roubo de dados na nuvem. Os usuários são aconselhados a usar versões seguras e a tratar todos os segredos de pipeline como comprometidos se estiverem usando versões afetadas. Medidas de mitigação incluem bloquear o domínio de exfiltração e monitorar contas do GitHub em busca de repositórios suspeitos.

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

Pesquisadores de cibersegurança identificaram um novo malware chamado Speagle, que se infiltra em sistemas que utilizam o software legítimo Cobra DocGuard, uma plataforma de segurança e criptografia de documentos. O Speagle tem como objetivo coletar informações sensíveis dos computadores infectados e enviá-las para um servidor comprometido do Cobra DocGuard, disfarçando a exfiltração de dados como comunicações legítimas. Este malware é notável por seu direcionamento específico, visando apenas sistemas com o Cobra DocGuard instalado, o que sugere uma intenção deliberada de espionagem industrial ou coleta de inteligência. O Speagle é rastreado sob o nome Runningcrab e, até o momento, não foi atribuído a nenhum ator específico, embora as investigações indiquem que pode ser obra de um agente patrocinado por um estado ou de um contratado privado. A forma de entrega do malware ainda é desconhecida, mas suspeita-se que tenha ocorrido por meio de um ataque à cadeia de suprimentos. O malware utiliza a infraestrutura do Cobra DocGuard para ocultar suas atividades maliciosas e se autoexcluir após a execução. Além disso, uma variante do Speagle possui funcionalidades adicionais para ativar ou desativar a coleta de dados e busca por arquivos relacionados a mísseis balísticos chineses. Essa nova ameaça representa um risco significativo para organizações que utilizam o Cobra DocGuard, exigindo atenção especial dos profissionais de segurança da informação.

Pesquisadores de cibersegurança revelaram uma nova família de malware Android, chamada Perseus, que está sendo ativamente distribuída com o objetivo de realizar a tomada de controle de dispositivos (DTO) e fraudes financeiras. Baseado nas fundações de Cerberus e Phoenix, o Perseus se apresenta como uma plataforma mais flexível e capaz de comprometer dispositivos Android por meio de aplicativos dropper distribuídos em sites de phishing. O malware utiliza sessões remotas baseadas em acessibilidade, permitindo monitoramento em tempo real e interação precisa com dispositivos infectados, com foco em regiões como Turquia e Itália.

A empresa de cibersegurança Acronis TRU revelou que cibercriminosos estão utilizando cheats gratuitos como isca para disseminar malwares entre jogadores. Esses malwares, disfarçados de trapaças, são encontrados em centenas de repositórios no GitHub e empregam técnicas de esteganografia para ocultar vírus, dificultando sua detecção por antivírus. O infostealer Vidar Stealer 2.0, uma versão aprimorada de um malware anterior, é capaz de roubar credenciais de navegadores, cookies, dados de autenticação, carteiras de criptomoedas e senhas de plataformas como Telegram e Discord. O malware é disseminado em um ambiente propício, onde usuários, muitas vezes jovens e inexperientes, buscam trapaças em sites não oficiais. O Vidar 2.0 opera na modalidade malware-as-a-service (MaaS), com preços que variam de R$ 670 a R$ 3.900, e tem se mostrado mais difícil de detectar devido a suas múltiplas camadas de execução. Para se proteger, é essencial que os usuários mantenham seus sistemas atualizados e evitem baixar softwares de fontes não confiáveis.

Um novo malware para Android, chamado Perseus, está se espalhando por lojas não oficiais disfarçado como aplicativos de IPTV. Ele tem como alvo informações sensíveis armazenadas em notas pessoais, como senhas e dados financeiros. O malware permite o controle total do dispositivo, captura de telas e ataques de sobreposição. A ameaça se aproveita da familiaridade dos usuários com a instalação de APKs fora da Google Play Store, especialmente em busca de transmissões esportivas gratuitas. Pesquisadores da ThreatFabric identificaram que o Perseus foca principalmente em instituições financeiras na Turquia e na Itália, além de serviços de criptomoedas. O malware utiliza serviços de acessibilidade do Android para abrir e escanear aplicativos de notas, como Google Keep e Evernote, em busca de dados valiosos. O Perseus também realiza verificações extensivas para evitar detecção antes de executar suas atividades maliciosas. Para se proteger, os usuários devem evitar a instalação de aplicativos de fontes duvidosas e garantir que o Play Protect esteja ativo.

O Departamento do Tesouro dos EUA sancionou seis indivíduos e duas entidades por envolvimento em um esquema de trabalhadores de TI da Coreia do Norte (DPRK) que visa fraudar empresas americanas e gerar receita ilícita para o regime, financiando programas de armas de destruição em massa. O esquema, conhecido como Coral Sleet/Jasper Sleet, utiliza documentação falsa, identidades roubadas e personas fabricadas para disfarçar a origem dos trabalhadores de TI, que conseguem empregos legítimos nos EUA e em outros lugares. Parte dos salários é desviada para a Coreia do Norte, em violação a sanções internacionais. Além disso, o uso de malware para roubar informações sensíveis e extorquir empresas é uma prática comum. A operação se beneficia de serviços de VPN, como o Astrill, para ocultar a localização real dos operativos, que frequentemente atuam da China. A inteligência artificial é utilizada para criar identidades falsas e facilitar a infiltração em empresas, destacando a evolução das técnicas de engenharia social. O esquema é uma parte integral da máquina de geração de receita e evasão de sanções da DPRK, com implicações significativas para a segurança cibernética global.

Um novo kit de exploração, denominado DarkSword, está sendo utilizado por diversos atores de ameaças desde novembro de 2025, conforme relatórios do Google Threat Intelligence Group (GTIG), iVerify e Lookout. Este kit é projetado para roubar dados sensíveis de dispositivos Apple iOS, especificamente iPhones que operam entre as versões 18.4 e 18.7. O DarkSword foi associado a um grupo de espionagem suspeito, UNC6353, que tem como alvo usuários na Ucrânia, além de campanhas em países como Arábia Saudita, Turquia e Malásia.

O malware BlackSanta, que se disfarça em imagens, está se tornando uma ameaça crescente para empresas, especialmente durante processos de recrutamento. Ele utiliza táticas sofisticadas para se infiltrar nos sistemas, aproveitando a pressa dos profissionais de Recursos Humanos que frequentemente baixam currículos de fontes não confiáveis. O ataque começa com o envio de um arquivo ISO que, ao ser aberto, executa um arquivo de atalho que ativa um script PowerShell oculto. Esse script extrai payloads maliciosos escondidos em imagens, permitindo que o malware opere diretamente na memória do computador, dificultando sua detecção. Uma vez instalado, o BlackSanta se conecta a um servidor de comando via HTTPS, permitindo que os hackers roubem dados sensíveis e criptomoedas. O malware é notório por desativar defesas de segurança, incluindo EDRs, o que o torna ainda mais perigoso. Especialistas da Aryaka alertam que as empresas devem tratar os fluxos de trabalho do RH com a mesma seriedade que setores financeiros e de TI, dada a vulnerabilidade a ataques como o do BlackSanta.

Nos últimos meses, uma investigação do FBI revelou que alguns jogos na plataforma Steam foram criados com o objetivo de infectar jogadores com malwares. A divisão de Seattle do FBI está buscando vítimas desses jogos, que incluem títulos como BlockBlasters, Chemia e Piratefy, entre outros. Os jogos foram identificados como parte de uma operação maliciosa, possivelmente realizada por um único hacker ou um grupo específico. O FBI convoca jogadores que baixaram esses jogos entre maio de 2024 e janeiro de 2026 a preencher um formulário para ajudar na investigação, garantindo a confidencialidade das informações. Um caso notável envolveu o jogador RastalandTV, que perdeu R$ 167 mil após baixar um dos jogos maliciosos. Além disso, a marca Steam tem sido alvo de ataques de phishing e engenharia social, sendo a mais imitada para golpes no primeiro semestre de 2025. A situação destaca a importância da vigilância e proteção contra ameaças cibernéticas no ambiente de jogos online.

Uma nova campanha de ciberespionagem, possivelmente orquestrada por atores de ameaça ligados à Rússia, tem como alvo entidades ucranianas, conforme relatado pela equipe de inteligência de ameaças LAB52 do S2 Grupo. Observada em fevereiro de 2026, a campanha apresenta semelhanças com uma anterior realizada pelo grupo Laundry Bear, que visava forças de defesa ucranianas utilizando a família de malware PLUGGYAPE. Os ataques utilizam iscas temáticas de caridade e judiciais para implantar um backdoor baseado em JavaScript, denominado DRILLAPP, que opera através do navegador Edge. O malware permite o upload e download de arquivos, além de acessar o microfone e a câmera do dispositivo. Duas versões da campanha foram identificadas: a primeira utiliza arquivos de atalho do Windows para carregar um script remoto, enquanto a segunda, detectada no final de fevereiro, substitui esses arquivos por módulos do Painel de Controle do Windows. A campanha destaca o uso inovador do navegador para implantar um backdoor, sugerindo que os atacantes estão buscando novas formas de evitar a detecção. Essa abordagem é preocupante, pois o navegador é um processo comum e geralmente não suspeito, permitindo acesso a recursos sensíveis sem alertar os usuários.

Pesquisadores da Sophos identificaram três campanhas distintas de ClickFix que atuam como vetores de entrega para um malware chamado MacSync, um ladrão de informações para macOS. Diferente de ataques tradicionais que dependem de exploits, essa técnica se baseia na interação do usuário, como copiar e executar comandos no terminal, tornando-a eficaz contra aqueles que não compreendem os riscos de executar comandos desconhecidos. As campanhas ocorreram entre novembro de 2025 e fevereiro de 2026, utilizando iscas como resultados patrocinados no Google e conversas do ChatGPT para enganar os usuários. O malware é projetado para coletar uma variedade de dados, incluindo credenciais e informações de carteiras de criptomoedas, e suas variantes mais recentes adaptam-se às medidas de segurança do sistema operacional. A técnica ClickFix tem sido amplamente adotada por diferentes grupos de ameaças, refletindo uma evolução nas táticas de engenharia social. Com o aumento do uso de ferramentas de IA e codificação, a ameaça se torna ainda mais relevante, especialmente para usuários de macOS, que frequentemente possuem credenciais de alto valor.

A campanha de malware GlassWorm está em andamento, utilizando tokens do GitHub roubados para injetar código malicioso em centenas de repositórios Python. O ataque, identificado pela StepSecurity, afeta projetos como aplicativos Django, códigos de pesquisa em ML e pacotes do PyPI. Os invasores acessam contas de desenvolvedores, reescrevendo os commits legítimos com código obfuscado, mantendo a mensagem original. As injeções começaram em 8 de março de 2026, após a instalação de malware em sistemas de desenvolvedores por meio de extensões maliciosas do VS Code. O código malicioso, que verifica se o sistema está configurado para o idioma russo, baixa payloads adicionais projetados para roubar criptomoedas e dados. A campanha, chamada ForceMemo, destaca a evolução das táticas dos atacantes, que agora utilizam métodos de injeção que não deixam rastros visíveis no GitHub. A StepSecurity observa que a infraestrutura de comando e controle (C2) associada ao ataque já tinha transações registradas desde novembro de 2025, indicando um planejamento de longo prazo. Essa nova abordagem de ataque, que reescreve o histórico do git, representa um risco significativo para a segurança da cadeia de suprimentos de software.

No dia 5 de março de 2026, a Fundação Wikimedia enfrentou um incidente de cibersegurança quando um worm baseado em JavaScript começou a modificar scripts de usuários e vandalizar páginas na Wikipédia. O ataque teve início na página Village Pump (technical), onde um número elevado de edições automatizadas introduziu scripts maliciosos. A Fundação rapidamente restringiu as edições e reverteu as alterações, confirmando que apenas as páginas da Meta-Wiki foram afetadas, sem impacto nos artigos acessados por usuários externos.

Duas extensões do Google Chrome, QuickLens e ShotBird, tornaram-se maliciosas após transferências de propriedade, permitindo que atacantes injetassem malware e coletassem dados sensíveis. QuickLens, que tinha 7.000 usuários, foi descontinuada, enquanto ShotBird, com 800 usuários, ainda está disponível. A pesquisa revelou que a nova versão de QuickLens, após uma atualização maliciosa, removeu cabeçalhos de segurança e permitiu que scripts maliciosos fizessem requisições arbitrárias. Já ShotBird enganava usuários com uma falsa atualização do Chrome, levando-os a executar comandos que baixavam malware. Ambos os casos mostram um padrão de controle remoto do navegador e execução de scripts no sistema do usuário, aumentando o risco de roubo de credenciais e comprometimento de endpoints. A transferência de propriedade das extensões é vista como um vetor de infecção, destacando o problema da cadeia de suprimentos de extensões. A Microsoft também alertou sobre extensões maliciosas que se disfarçam de ferramentas legítimas, reforçando a necessidade de vigilância em ambientes corporativos.

Um novo relatório de Inteligência de Ameaças da Microsoft revela que grupos de ameaças estão cada vez mais utilizando ferramentas de inteligência artificial (IA) para potencializar suas operações cibernéticas. A IA está sendo empregada em diversas etapas de ataques, como reconhecimento, phishing, desenvolvimento de infraestrutura e criação de malware. Os atacantes utilizam modelos de linguagem para redigir e-mails de phishing, traduzir conteúdos, resumir dados roubados e até depurar códigos maliciosos. Exemplos incluem grupos da Coreia do Norte, como Jasper Sleet, que criam identidades digitais falsas para se infiltrar em empresas ocidentais. Além disso, a Microsoft observa que a IA está sendo usada para desenvolver malware que pode se adaptar em tempo real. A empresa alerta que, à medida que as técnicas de ataque evoluem, as organizações devem reforçar suas defesas, focando na detecção de usos anômalos de credenciais e na proteção de sistemas de IA que podem ser alvos futuros. O uso crescente de IA por cibercriminosos representa um risco significativo, exigindo atenção especial dos profissionais de segurança da informação.

Pesquisadores da Push Security identificaram uma nova técnica de engenharia social chamada InstallFix, que está sendo utilizada por cibercriminosos para induzir usuários a executar comandos maliciosos sob a falsa promessa de instalação de ferramentas legítimas de interface de linha de comando (CLI). Essa técnica explora a prática comum entre desenvolvedores de baixar e executar scripts de fontes online sem a devida verificação. O ataque utiliza páginas clonadas de ferramentas populares, como o Claude Code, que imitam o layout e a documentação do site oficial, mas fornecem instruções de instalação que entregam malware. O malware identificado é o Amatera Stealer, projetado para roubar dados sensíveis, como credenciais e carteiras de criptomoedas. Os atacantes promovem essas páginas por meio de campanhas de malvertising no Google Ads, levando usuários a clicar em anúncios maliciosos que aparecem nos resultados de busca. A Push Security alerta que, devido à confiança excessiva em domínios, essa técnica pode se tornar uma ameaça significativa, especialmente para usuários não técnicos. Os pesquisadores recomendam que os usuários sempre busquem instruções de instalação em sites oficiais e evitem resultados patrocinados nas buscas do Google.

Pesquisadores de cibersegurança revelaram detalhes sobre uma campanha de malware em múltiplas etapas, chamada VOID#GEIST, que utiliza scripts em lote para entregar trojans de acesso remoto (RATs) como XWorm, AsyncRAT e Xeno RAT. O ataque começa com um script em lote ofuscado que é baixado de um domínio TryCloudflare e distribuído via e-mails de phishing. Este script inicial evita a elevação de privilégios e utiliza os direitos do usuário logado para estabelecer uma presença inicial no sistema, disfarçando suas atividades como operações administrativas comuns.

O grupo de hackers conhecido como Transparent Tribe, alinhado ao Paquistão, adotou ferramentas de codificação assistidas por inteligência artificial (IA) para desenvolver uma variedade de implantes maliciosos. Segundo a Bitdefender, essa nova abordagem resulta em uma produção em massa de malware, utilizando linguagens de programação menos conhecidas como Nim, Zig e Crystal. A estratégia, denominada ‘vibeware’, visa complicar a detecção ao inundar ambientes-alvo com binários descartáveis que utilizam diferentes protocolos de comunicação. Os ataques têm como alvo o governo indiano e suas embaixadas, além de empresas privadas e o governo afegão. Os métodos de infecção incluem e-mails de phishing com atalhos do Windows e iscas em PDFs. Após a execução, scripts PowerShell são utilizados para baixar backdoors e ferramentas de simulação de adversários, como Cobalt Strike. A Bitdefender alerta que essa industrialização de malware assistido por IA permite que os atacantes escalem suas atividades rapidamente, representando um risco crescente para a segurança cibernética.

A Microsoft revelou detalhes sobre uma nova campanha de engenharia social chamada ClickFix, que utiliza o aplicativo Windows Terminal para ativar uma cadeia de ataques sofisticados e implantar o malware Lumma Stealer. Observada em fevereiro de 2026, a campanha orienta os usuários a abrir o Windows Terminal através do atalho Windows + X → I, criando um ambiente de execução de comandos que parece legítimo e confiável. Essa abordagem contorna detecções que normalmente sinalizariam abusos do diálogo de execução do Windows.

Recentemente, pesquisadores da Huntress identificaram uma campanha maliciosa que utiliza instaladores falsos do OpenClaw, um agente de IA de código aberto, para disseminar malware. Os atacantes criaram repositórios no GitHub que se apresentavam como instaladores legítimos do OpenClaw, sendo promovidos pelo recurso de busca aprimorada da IA do Microsoft Bing. Esses repositórios, embora parecessem autênticos à primeira vista, continham instruções que levavam os usuários a executar comandos que implantavam malware, como infostealers e proxies. Para usuários de macOS, as instruções incluíam um comando bash que direcionava para um repositório malicioso, enquanto usuários do Windows eram levados a baixar executáveis que continham loaders de malware. Entre os malwares identificados estavam o Vidar, que coleta dados de usuários, e o GhostSocks, que transforma máquinas em nós de proxy. A Huntress reportou os repositórios maliciosos ao GitHub, mas ainda não está claro se foram removidos. Este incidente destaca a importância de verificar a autenticidade de fontes de download e a necessidade de cautela ao buscar software online.

Um grupo de ameaça persistente avançada, identificado como UAT-9244 e vinculado à China, tem como alvo provedores de serviços de telecomunicações na América do Sul desde 2024. Pesquisadores da Cisco Talos relataram que o grupo utiliza três novas famílias de malware: TernDoor, um backdoor para Windows; PeerTime, um backdoor para Linux que utiliza o protocolo BitTorrent; e BruteEntry, um scanner de força bruta que transforma dispositivos comprometidos em nós de escaneamento.

Pesquisadores da Check Point Research alertaram sobre uma campanha de ciberespionagem, denominada ‘Silver Dragon’, que visa instituições governamentais na Europa e no Sudeste Asiático. O grupo hacker APT41, associado à China, utiliza um backdoor chamado GearDoor, que explora a API do Google Drive para roubar dados. Os atacantes empregam táticas de phishing, enviando documentos maliciosos que simulam comunicações oficiais. Após a instalação do malware, ele cria uma pasta na nuvem para ocultar suas atividades, enviando arquivos comuns para não levantar suspeitas. Além disso, o malware utiliza um sistema de monitoramento chamado SilverScreen para capturar imagens da tela das vítimas sem sobrecarregar o sistema. A operação se aproveita de recursos legítimos do Windows para garantir sua permanência e dificultar a detecção por redes governamentais. Essa situação representa um risco significativo para a segurança de dados sensíveis, especialmente considerando a crescente dependência de plataformas de armazenamento em nuvem por entidades governamentais.

Um novo exploit, denominado Coruna, foi identificado pelo Grupo de Inteligência de Ameaças da Google, visando iPhones. Este kit hacker, que contém 23 exploits, foi desenvolvido a partir de um framework do governo dos Estados Unidos e acabou sendo utilizado por cibercriminosos da China e Rússia. O Coruna é notável por sua complexidade, permitindo ataques em massa a dispositivos iOS, algo inédito até então. A vulnerabilidade abrange iPhones com iOS desde a versão 13.0 até a 17.2.1. A descoberta ocorreu após um hacker chinês utilizar o kit em sites de apostas e criptomoedas, levando à sua análise pela iVerify, que destacou que a documentação do malware foi redigida em inglês nativo. Para mitigar os riscos, usuários são aconselhados a atualizar seus dispositivos ou ativar o Modo Isolamento. O caso levanta preocupações sobre a segurança de dados pessoais e financeiros, especialmente em um contexto onde o uso de spyware por governos é comum, mas sua exposição a cibercriminosos é alarmante.

A Wikimedia Foundation enfrentou um incidente de segurança significativo quando um worm JavaScript auto-propagante começou a vandalizar páginas e modificar scripts de usuários em várias wikis. O ataque foi inicialmente relatado no Village Pump da Wikipedia, onde editores notaram uma quantidade anormal de edições automatizadas que inseriam scripts ocultos e vandalismos em páginas aleatórias. Os engenheiros da Wikimedia restringiram temporariamente a edição em todos os projetos enquanto investigavam o ataque e revertiam as alterações. O worm JavaScript parece ter sido ativado por um script malicioso hospedado na Wikipedia em russo, que foi executado por uma conta de funcionário da Wikimedia durante testes. O script injetava carregadores JavaScript maliciosos nos arquivos common.js de usuários logados e no MediaWiki:Common.js global, afetando todos os editores. Aproximadamente 3.996 páginas foram modificadas e cerca de 85 usuários tiveram seus arquivos common.js substituídos. Embora a injeção de código tenha sido removida e a edição tenha sido restaurada, a Wikimedia ainda não divulgou um relatório detalhado sobre a execução do script ou a extensão da propagação do worm antes de ser contido.

O aplicativo de mensagens Telegram tem se tornado um ponto central para atividades criminosas, com hackers utilizando a plataforma para vender acessos corporativos, dados roubados e serviços de malware. Pesquisadores da CYFIRMA identificaram um aumento na utilização do Telegram para operações ilegais, que antes eram realizadas principalmente em fóruns da dark web. Essa mudança se deve à facilidade de uso e à resistência da plataforma a desativações frequentes por parte das autoridades. Os grupos criminosos no Telegram operam como um ‘shopping center automatizado’, utilizando bots para encontrar senhas roubadas e processar pagamentos rapidamente. Além disso, o Telegram serve como um canal de suporte para esses criminosos, oferecendo ferramentas e recursos para facilitar suas atividades. Apesar de o Telegram ter colaborado com autoridades, atendendo a 900 solicitações de dados nos EUA, essa ação não tem sido suficiente para conter o crescimento desses grupos. A situação exige uma resposta mais robusta, já que a simples vigilância após incidentes não tem se mostrado eficaz para mitigar os danos causados por essas comunidades criminosas.

Um grupo de ameaças ligado ao Irã, identificado como Dust Specter, está sendo responsabilizado por uma campanha de ciberataques direcionada a autoridades governamentais do Iraque. A campanha, observada pela Zscaler ThreatLabz em janeiro de 2026, utiliza técnicas de engenharia social para se passar pelo Ministério das Relações Exteriores do Iraque e distribuir um conjunto de malwares inéditos, incluindo SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM.

Os ataques começam com um arquivo RAR protegido por senha, que contém um dropper .NET chamado SPLITDROP. Este dropper carrega o módulo TWINTASK, que é um DLL malicioso que se infiltra em um processo legítimo do VLC Media Player para executar comandos a partir de um arquivo de texto. O módulo TWINTALK, por sua vez, atua como um orquestrador de comando e controle (C2), permitindo a comunicação com o servidor C2.

Recentes desenvolvimentos em cibersegurança revelam uma rápida evolução no cenário de ameaças. A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) alertou sobre uma campanha de phishing que visa instituições governamentais, utilizando e-mails maliciosos para disseminar malwares como SHADOWSNIFF e SALATSTEALER. Além disso, um novo serviço de malware como serviço (MaaS) chamado TrustConnect está sendo utilizado para distribuir um RAT (Remote Access Trojan) disfarçado de ferramenta legítima de gerenciamento remoto.

Um novo conjunto de 23 exploits para iOS, denominado ‘Coruna’, foi identificado em campanhas de espionagem e ataques financeiros. O kit inclui cinco cadeias de exploits sofisticados, que utilizam técnicas não documentadas para versões do iOS de 13.0 a 17.2.1. A primeira atividade relacionada ao Coruna foi observada em fevereiro de 2025, associada a um fornecedor de vigilância. Um exploit específico, CVE-2024-23222, permitiu a execução remota de código e foi corrigido pela Apple em janeiro de 2024. O kit foi utilizado em ataques direcionados a usuários de iPhone que acessavam sites comprometidos, especialmente na Ucrânia, e também em sites falsos de jogos e criptomoedas na China. O Coruna é capaz de identificar a versão do dispositivo e selecionar a cadeia de exploits adequada, parando se o Modo de Bloqueio estiver ativo. Após a exploração, um carregador chamado PlasmaLoader é injetado, visando aplicativos de carteira de criptomoedas. A análise sugere que o Coruna evoluiu de um uso em espionagem para atividades criminosas em larga escala, levantando preocupações sobre a segurança dos usuários comuns de iPhone. A Google recomenda que os usuários atualizem seus dispositivos e ativem o Modo de Bloqueio se a atualização não for possível.

Pesquisadores de segurança da Dark Web Informer descobriram que hackers estão vendendo um script malicioso em fóruns clandestinos, que explora vulnerabilidades do WhatsApp para roubar dados pessoais. O exploit, que custa cerca de R$ 160, é projetado para travar o aplicativo em dispositivos Android e iOS. No Android, o ataque provoca o travamento completo do WhatsApp, enquanto no iOS, além do travamento, ele congela conversas em grupos, dificultando o acesso do usuário. O script também possui funcionalidades que permitem bombardeios de chamadas de voz e vídeo, tornando o dispositivo inutilizável durante o ataque. O fato de o exploit ser de fácil execução, sem necessidade de configurações complexas, aumenta o risco, pois qualquer pessoa com um número de celular pode utilizá-lo. A situação é alarmante, considerando que o WhatsApp é amplamente utilizado no Brasil, e a possibilidade de ataques em massa pode afetar a privacidade e segurança de milhões de usuários.

O Google identificou um novo e poderoso kit de exploits chamado Coruna, que visa modelos de iPhone com versões do iOS entre 13.0 e 17.2.1. Este kit contém cinco cadeias completas de exploits e um total de 23 vulnerabilidades, sendo que não é eficaz contra a versão mais recente do iOS. O Coruna foi observado circulando entre diversos atores de ameaças desde fevereiro de 2025, começando em operações de vigilância comercial e evoluindo para ataques apoiados por governos e, finalmente, para grupos criminosos motivados financeiramente, especialmente da China. O kit utiliza técnicas de exploração não públicas e contorna mitigação de segurança, o que o torna altamente sofisticado. A primeira detecção de partes de uma cadeia de exploits do iOS ocorreu no início do ano passado, integrando um novo framework JavaScript que coleta informações do dispositivo antes de executar os exploits. O kit foi associado a campanhas de espionagem, incluindo um grupo russo, e é um exemplo significativo da proliferação de capacidades de spyware de fornecedores comerciais para atores de estados-nação e operações criminosas em larga escala. Para mitigar os riscos, usuários de iPhone são aconselhados a manter seus dispositivos atualizados e a ativar o Modo de Bloqueio para maior segurança.

Pesquisadores de cibersegurança identificaram pacotes PHP maliciosos no Packagist, que se apresentam como utilitários do Laravel, mas atuam como um trojan de acesso remoto (RAT) em sistemas Windows, macOS e Linux. Os pacotes em questão são ’nhattuanbl/lara-helper’, ’nhattuanbl/simple-queue’ e ’nhattuanbl/lara-swagger’. O pacote ’lara-swagger’ não contém código malicioso diretamente, mas depende do ’lara-helper’, que instala o RAT. Os pacotes ainda estão disponíveis para download. O RAT, uma vez carregado, se conecta a um servidor de comando e controle (C2) e permite que o operador tenha acesso total ao sistema comprometido, incluindo a capacidade de executar comandos, capturar telas e manipular arquivos. Embora o servidor C2 esteja inativo no momento, o RAT tenta se reconectar a cada 15 segundos, representando um risco contínuo. Os usuários que instalaram esses pacotes devem considerar suas aplicações comprometidas, removê-los e auditar o tráfego de saída. Além dos pacotes maliciosos, o autor publicou outras bibliotecas limpas para ganhar credibilidade. A situação é crítica, pois qualquer aplicação Laravel que tenha instalado os pacotes mencionados está sob risco de controle remoto.

Recentemente, pesquisadores da Huntress identificaram uma nova campanha de ciberataque onde criminosos se passam por suporte técnico para implantar o framework de comando e controle (C2) Havoc, visando a exfiltração de dados ou ataques de ransomware. A intrusão foi observada em cinco organizações parceiras, onde os atacantes utilizaram e-mails de spam como iscas, seguidos de ligações telefônicas que ativaram um complexo pipeline de entrega de malware.

Em uma das organizações, os atacantes conseguiram se mover lateralmente para nove endpoints em apenas 11 horas, utilizando uma combinação de payloads personalizados do Havoc e ferramentas legítimas de gerenciamento remoto (RMM) para garantir persistência. A técnica de engenharia social, que inclui a criação de páginas falsas que imitam serviços da Microsoft, foi fundamental para o sucesso do ataque, permitindo que os criminosos coletassem credenciais dos usuários.

Pesquisadores de segurança da Microsoft alertaram sobre uma nova tática de hackers que utilizam instaladores falsos de jogos populares, como Xeno e Roblox, para disseminar trojans de acesso remoto (RATs). Os arquivos maliciosos, disfarçados como executáveis legítimos, empregam técnicas furtivas para se manterem ocultos no sistema da vítima. Após a instalação, um Java runtime portátil é utilizado para executar um arquivo malicioso, que se conecta a servidores remotos e permite o controle do computador da vítima. Os hackers aproveitam ferramentas já existentes no Windows, conhecidas como LOLbins, para evitar a detecção, fazendo com que suas atividades pareçam normais. A Microsoft já atualizou seu Defender para detectar esses malwares, mas recomenda que os usuários monitorem o tráfego de saída e bloqueiem conexões suspeitas. A orientação é que os jogadores evitem baixar ferramentas de fontes não oficiais, pois a probabilidade de contaminação por malware é alta. Este incidente destaca a importância de se manter vigilante ao baixar softwares, especialmente em ambientes de jogos.

O grupo de cibercriminosos conhecido como SloppyLemming está por trás de uma nova onda de ataques direcionados a entidades governamentais e operadores de infraestrutura crítica em países como Paquistão e Bangladesh, conforme relatado pela Arctic Wolf. As atividades ocorreram entre janeiro de 2025 e janeiro de 2026 e envolveram duas cadeias de ataque distintas que utilizam malwares conhecidos como BurrowShell e um keylogger baseado em Rust. A utilização da linguagem de programação Rust representa uma evolução nas ferramentas do grupo, que anteriormente utilizava apenas linguagens compiladas tradicionais e frameworks de simulação de adversários. Os ataques foram iniciados por meio de e-mails de spear-phishing que continham iscas em PDF e documentos do Excel com macros maliciosas. O BurrowShell, um backdoor completo, permite ao atacante manipular o sistema de arquivos, capturar telas e executar comandos remotamente, disfarçando seu tráfego de comando e controle como comunicações do serviço de atualização do Windows. A análise também revelou um aumento significativo na infraestrutura do grupo, com 112 domínios do Cloudflare Workers registrados em um ano, indicando uma escalada em suas operações. O foco em entidades críticas, como órgãos reguladores nucleares e instituições financeiras, sugere um alinhamento com prioridades de coleta de inteligência na competição estratégica regional.

O arquivo com extensão .scr, que remete a protetores de tela no Windows, é frequentemente utilizado por cibercriminosos para disseminar malware. Em 2026, a probabilidade de receber um arquivo .scr malicioso por e-mail é de 99,9%. Isso ocorre porque o Windows trata arquivos .scr da mesma forma que arquivos executáveis (.exe), permitindo que um malware se disfarce como um documento legítimo, como um PDF. Os golpistas costumam usar camuflagens, como nomes de arquivos que parecem inofensivos, mas que na verdade contêm a extensão .scr oculta. Para se proteger, é recomendado ativar a exibição de extensões de arquivos no Windows Explorer, o que ajuda a identificar arquivos suspeitos. Além disso, uma solução prática é criar um arquivo .scr que abra no Bloco de Notas, impedindo a execução de qualquer código malicioso. Para usuários mais avançados, é aconselhável bloquear a execução de arquivos .scr fora da pasta do sistema. Essas medidas são essenciais para evitar que usuários desavisados sejam vítimas de ataques cibernéticos.