Malware

Uma nova campanha de cibercriminosos tem se aproveitado da popularidade do WhatsApp e de ferramentas de inteligência artificial para roubar dados pessoais dos usuários. Identificada pela empresa de segurança Appknox, a campanha envolve aplicativos falsos que imitam a interface do WhatsApp, ChatGPT e DALL·E, disponíveis em lojas digitais alternativas. Esses aplicativos maliciosos, como o WhatsApp Plus, solicitam permissões excessivas, como acesso a SMS e registros de chamadas, permitindo que os criminosos capturem informações sensíveis sem o consentimento dos usuários. O malware pode operar mesmo quando o aplicativo está fechado, utilizando bibliotecas nativas para monitorar atividades. A Appknox alerta que a falha nos mecanismos de verificação de aplicativos torna a situação ainda mais crítica, exigindo uma vigilância constante nas lojas de aplicativos e a educação dos usuários sobre a instalação de aplicativos apenas em plataformas oficiais. A descoberta dessa campanha é um sinal de alerta para empresas, pois dispositivos comprometidos podem ser usados para roubar códigos de verificação bancária e facilitar fraudes.

Recentemente, uma nova campanha de ciberespionagem, chamada Operação SkyCloak, foi identificada, visando o setor de defesa na Rússia e na Bielorrússia. Os atacantes utilizam e-mails de phishing com anexos maliciosos, disfarçados como documentos militares, para implantar um backdoor persistente em sistemas comprometidos. O malware utiliza OpenSSH e um serviço oculto Tor para ofuscação de tráfego, permitindo que os invasores mantenham controle remoto sobre as máquinas infectadas.

O ataque começa com um arquivo ZIP que contém um atalho do Windows (LNK) e um segundo arquivo compactado. Quando o atalho é aberto, comandos PowerShell são executados, iniciando uma cadeia de infecção. O malware realiza verificações para evitar ambientes de análise, como sandboxes, e, uma vez que as condições são atendidas, exibe um documento PDF como isca. Além disso, cria tarefas agendadas para garantir sua persistência e estabelece um serviço SSH que permite a transferência de arquivos e acesso remoto.

Uma campanha de publicidade maliciosa sofisticada está atualmente entregando o malware OysterLoader por meio de anúncios falsos de ferramentas de software populares, como PuTTY, Microsoft Teams e Zoom. Desde junho de 2025, o grupo de ransomware Rhysida, que atua desde 2021, tem explorado um modelo de malvertising eficaz, comprando anúncios no Bing que redirecionam usuários desavisados para páginas de download fraudulentas. Essas páginas imitam sites oficiais e, ao serem acessadas, instalam o OysterLoader, que serve como uma ferramenta de acesso inicial para permitir que hackers mantenham acesso a dispositivos e redes comprometidos. Para evitar a detecção, o grupo utiliza técnicas de compressão e ofuscação do malware, além de certificados de assinatura de código para dar uma falsa legitimidade aos arquivos maliciosos. Apesar da revogação de mais de 200 certificados pela Microsoft, a campanha continua ativa, com o uso de mais de 40 certificados novos. Essa escalada nas operações do grupo demonstra recursos financeiros substanciais e um compromisso com suas atividades maliciosas, diversificando suas táticas com a implementação de outros malwares, como o Latrodectus.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

Pesquisadores da Netskope identificaram que a ferramenta de código aberto RedTiger, originalmente desenvolvida para testes de segurança, está sendo utilizada por hackers para criar um infostealer que rouba dados de contas do Discord e informações de pagamento. O malware, que também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e informações de jogos como Roblox, é disseminado através de canais do Discord, sites maliciosos e vídeos no YouTube, disfarçado como mods ou boosters. A RedTiger permite a interceptação de dados do sistema, incluindo senhas e cookies, e injeta JavaScript no Discord para capturar eventos como tentativas de login e compras. Os dados coletados são enviados para os hackers via GoFile, um serviço de armazenamento em nuvem anônimo. A Netskope alerta que usuários franceses do Discord estão sendo os principais alvos, e recomenda que, em caso de suspeita de infecção, os usuários revoguem tokens, troquem senhas e reinstalem o aplicativo a partir do site oficial. A situação destaca a vulnerabilidade de usuários em plataformas populares e a necessidade de medidas de segurança robustas.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

O Open VSX Registry e a Eclipse Foundation relataram um incidente de segurança envolvendo o vazamento de tokens de desenvolvedores e a publicação de extensões maliciosas que exploraram essas credenciais. A situação foi identificada por pesquisadores de segurança da Wiz, que encontraram tokens expostos em repositórios de código público. Esses tokens pertenciam a usuários do Open VSX e foram utilizados por atacantes para publicar extensões prejudiciais na plataforma. A Eclipse Foundation esclareceu que a exposição dos tokens foi resultado de descuidos dos desenvolvedores, e não de uma violação de infraestrutura. Após a identificação dos tokens comprometidos, a equipe os revogou imediatamente e implementou melhorias significativas na segurança, incluindo a colaboração com o Microsoft Security Response Center para criar um formato de prefixo de token que facilita a detecção de exposições em repositórios públicos. Embora o ataque tenha sido considerado sério, a equipe do Open VSX afirmou que não se tratava de um verme autônomo, mas sim de um malware que exigia intervenção humana para se propagar. Todas as extensões maliciosas foram removidas rapidamente, e o incidente foi declarado totalmente contido em 21 de outubro de 2025, sem evidências de compromissos em andamento.

O grupo de ameaças Kimsuky, vinculado à Coreia do Norte, lançou um novo backdoor chamado HttpTroy, utilizando um ataque de spear-phishing direcionado a uma vítima na Coreia do Sul. O ataque foi revelado pela Gen Digital, que não especificou a data do incidente. O e-mail de phishing continha um arquivo ZIP disfarçado como uma fatura de VPN, que, ao ser aberto, ativava uma cadeia de execução de malware. Essa cadeia inclui um dropper, um loader chamado MemLoad e o backdoor HttpTroy.

Pesquisadores de cibersegurança identificaram dois novos trojans para Android, BankBot-YNRK e DeliveryRAT, que têm a capacidade de coletar dados sensíveis de dispositivos comprometidos. O BankBot-YNRK, por exemplo, evita a detecção ao verificar se está sendo executado em um ambiente virtualizado e coleta informações sobre o dispositivo, como fabricante e modelo. Ele se disfarça como um aplicativo governamental indonésio, ‘Identitas Kependudukan Digital’, e, uma vez instalado, silencia notificações para não alertar a vítima sobre atividades suspeitas. O malware é projetado para operar em dispositivos Android 13 e anteriores, já que a versão 14 introduziu novas proteções contra o uso indevido de serviços de acessibilidade. Por outro lado, o DeliveryRAT, que tem sido distribuído sob a forma de serviços de entrega, coleta dados de SMS e registros de chamadas, além de ocultar seu ícone para dificultar a remoção. Ambos os trojans representam uma ameaça significativa, especialmente para usuários de dispositivos Android no Brasil, onde a segurança de dados financeiros é uma preocupação crescente.

O malware Herodotus, recentemente identificado pela Threat Fabric, tem gerado preocupações no Brasil e na Itália por sua capacidade de imitar o comportamento humano e enganar sistemas de segurança bancários. Este software malicioso, que opera como um Malware-as-a-Service (MaaS), é distribuído através de fraudes conhecidas como SMiShing, onde usuários recebem mensagens de texto com links maliciosos. Ao clicar no link, a vítima baixa um dropper que instala o Herodotus no dispositivo Android, permitindo que o malware obtenha acesso total ao aparelho.

O crescimento explosivo de aplicativos móveis impulsionados por IA criou um ambiente propício para cibercriminosos que exploram a confiança nas marcas. Pesquisadores da Appknox identificaram um aumento preocupante de clones falsos do ChatGPT, DALL·E e WhatsApp em lojas de aplicativos alternativas, que utilizam marcas conhecidas para enganar usuários e comprometer dispositivos empresariais. Em 2024, aplicativos relacionados à IA representaram 13% de todos os downloads globais, totalizando 17 bilhões, tornando-se alvos atraentes para ataques. As ameaças variam de adware oportunista a infraestruturas de spyware. Um exemplo alarmante é o WhatsApp Plus, que se disfarça como uma versão aprimorada do mensageiro, mas contém malware que solicita permissões extensivas, permitindo que atacantes interceptem códigos de autenticação e acessem contatos. A análise de tráfego de rede revelou técnicas de mascaramento de tráfego malicioso. Para ambientes corporativos, as implicações são catastróficas, com riscos de violação de normas como GDPR e HIPAA, podendo resultar em multas milionárias. Os pesquisadores ressaltam que os mecanismos tradicionais de verificação de aplicativos falham em prevenir ameaças pós-lançamento, destacando a necessidade de monitoramento contínuo e educação dos usuários sobre downloads seguros.

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, identificaram um novo malware chamado Airstalk, supostamente associado a um ator de ameaça apoiado por um Estado, que utiliza a API do AirWatch para gerenciamento de dispositivos móveis (MDM) para estabelecer um canal de comando e controle (C2) encoberto. O Airstalk aparece em variantes PowerShell e .NET, sendo a versão .NET mais avançada, capaz de capturar capturas de tela, cookies, histórico de navegação e favoritos de navegadores. O malware se comunica com o servidor C2 através de um protocolo multi-threaded e utiliza um certificado possivelmente roubado para assinar alguns de seus componentes. A pesquisa sugere que o malware pode estar visando o setor de terceirização de processos de negócios (BPO), um alvo lucrativo para atacantes, tanto criminosos quanto apoiados por Estados. A utilização de APIs relacionadas ao MDM para C2 e o foco em navegadores empresariais como o Island indicam uma potencial exploração de cadeia de suprimentos, o que pode ter implicações significativas para a segurança das organizações que dependem desses serviços.

O grupo de ameaças conhecido como UNC6384, associado à China, está vinculado a uma nova onda de ataques que exploram uma vulnerabilidade não corrigida em atalhos do Windows, visando entidades diplomáticas e governamentais na Europa entre setembro e outubro de 2025. Os ataques foram direcionados a organizações diplomáticas na Hungria, Bélgica, Itália e Países Baixos, além de agências governamentais na Sérvia. A cadeia de ataque começa com e-mails de spear-phishing que contêm URLs maliciosas, levando à entrega de arquivos LNK que exploram a vulnerabilidade ZDI-CAN-25373, identificada como CVE-2025-9491. Esses arquivos são projetados para desencadear uma sequência de ataques que culminam na implantação do malware PlugX, um trojan de acesso remoto. O PlugX é conhecido por suas capacidades de acesso remoto, incluindo execução de comandos, registro de teclas e upload/download de arquivos. A evolução do malware foi observada, com a redução do tamanho dos artefatos de 700 KB para 4 KB, indicando um desenvolvimento ativo. A campanha se alinha com os interesses estratégicos da China em relação à coesão das alianças europeias e iniciativas de defesa.

A Eclipse Foundation, responsável pelo projeto Open VSX, anunciou a revogação de alguns tokens que foram acidentalmente expostos em extensões do Visual Studio Code (VS Code) publicadas no marketplace. Essa medida foi tomada após um relatório da empresa de segurança em nuvem Wiz, que identificou que várias extensões, tanto do marketplace da Microsoft quanto do Open VSX, expuseram seus tokens de acesso em repositórios públicos. Mikaël Barbero, chefe de segurança da Eclipse Foundation, afirmou que as exposições foram causadas por erros dos desenvolvedores e não por uma violação da infraestrutura do Open VSX. Para mitigar riscos futuros, a Open VSX implementou um novo formato de prefixo para tokens e está reduzindo os limites de tempo de vida dos tokens por padrão. Além disso, a fundação está automatizando a verificação de extensões no momento da publicação para detectar padrões de código malicioso. O incidente destaca a importância da segurança da cadeia de suprimentos, que é uma responsabilidade compartilhada entre desenvolvedores e mantenedores de registros. O número de downloads reportados de 35.800 pode estar inflacionado devido a bots, segundo Barbero.

O AdaptixC2, um framework de código aberto para comando e controle (C2), está sendo utilizado por um número crescente de atores de ameaças, incluindo grupos de ransomware ligados à Rússia. Desenvolvido inicialmente por um usuário do GitHub conhecido como ‘RalfHacker’, o AdaptixC2 é projetado para testes de penetração e oferece uma variedade de recursos, como comunicações criptografadas, execução de comandos e gerenciamento de credenciais. Desde sua liberação pública em agosto de 2024, o framework tem sido adotado por grupos de hackers, incluindo operações de ransomware como Fog e Akira. A Palo Alto Networks caracterizou o AdaptixC2 como um framework modular que permite controle abrangente de máquinas comprometidas. Apesar de ser uma ferramenta ética, sua popularidade entre cibercriminosos levanta preocupações. A empresa Silent Push iniciou uma investigação após a descrição de RalfHacker como ‘MalDev’, encontrando conexões com o submundo criminoso da Rússia. Embora não se saiba se RalfHacker está diretamente envolvido em atividades maliciosas, a utilização crescente do AdaptixC2 por atores de ameaças russos é um sinal de alerta significativo.

Pesquisadores da Unit 42 identificaram uma nova família de malware chamada Airstalk, que ataca sistemas Windows utilizando APIs legítimas de gerenciamento de dispositivos móveis para estabelecer canais de comando e controle (C2) encobertos. O malware possui variantes em PowerShell e .NET, e há indícios de que um ator de estado-nação pode ter utilizado essa ameaça em ataques à cadeia de suprimentos. Airstalk se destaca por explorar a API AirWatch da VMware, agora conhecida como Workspace ONE Unified Endpoint Management, abusando de atributos de dispositivos personalizados e capacidades de upload de arquivos para criar um mecanismo de comunicação bidirecional com os atacantes.

O Lampion Stealer, um trojan bancário desenvolvido por atores de ameaça brasileiros, evoluiu suas táticas de infecção ao incorporar a técnica de engenharia social conhecida como ClickFix. Desde junho de 2024, essa campanha tem demonstrado capacidades sofisticadas de evasão, visando usuários de língua portuguesa e resultando em dezenas de novas infecções diariamente. A campanha utiliza contas de e-mail comprometidas para enviar mensagens de phishing que se disfarçam como recibos de transferências bancárias. Os e-mails contêm anexos ZIP que iniciam uma cadeia de infecção em múltiplas etapas, projetada para implantar um malware que rouba credenciais. A técnica ClickFix substitui links maliciosos tradicionais, levando as vítimas a executar comandos no Windows que baixam e executam scripts maliciosos. O malware coleta informações sensíveis, como credenciais bancárias portuguesas, e utiliza uma infraestrutura distribuída para evitar a detecção. A taxa de detecção permanece baixa, com os arquivos iniciais apresentando zero detecções em ferramentas de segurança. Essa evolução nas táticas de ataque destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger os usuários contra essas ameaças.

Pesquisadores de cibersegurança descobriram uma campanha ativa de ataque à cadeia de suprimentos de software, denominada PhantomRaven, que visa o registro npm. Desde agosto de 2025, mais de 100 pacotes maliciosos foram identificados, com um total de 126 bibliotecas npm que atraíram mais de 86.000 instalações. Esses pacotes são projetados para roubar tokens de autenticação, segredos de CI/CD e credenciais do GitHub dos desenvolvedores. O ataque se destaca pela técnica de esconder código malicioso em dependências, utilizando URLs HTTP personalizadas que direcionam para um site não confiável, dificultando a detecção por ferramentas de segurança. Quando um desenvolvedor instala um pacote aparentemente benigno, o código malicioso é executado, coletando informações sensíveis do ambiente do desenvolvedor e enviando-as para um servidor remoto. A escolha dos nomes dos pacotes não é aleatória, aproveitando-se de um fenômeno conhecido como slopsquatting, onde nomes plausíveis são gerados por modelos de linguagem. Essa situação ressalta a necessidade de uma vigilância constante em ecossistemas de código aberto, onde a facilidade de publicação pode facilitar a disseminação de malware.

O cenário de cibersegurança está em constante evolução, com atacantes focando em alvos de alto impacto e explorando novas vulnerabilidades. Recentemente, o Hijack Loader foi utilizado em campanhas de phishing na América Latina, especificamente na Colômbia, onde e-mails falsos relacionados ao escritório do Procurador Geral foram enviados para disseminar o PureHVNC RAT. Além disso, um ex-empregado de um contratante de defesa dos EUA foi condenado por vender segredos comerciais a um corretor russo, recebendo pagamentos em criptomoedas. A Europol alertou sobre o aumento da fraude global impulsionada por chamadas com identificação falsa, que causam perdas estimadas em 850 milhões de euros anualmente. Em resposta a essas ameaças, o Google anunciou que o Chrome passará a usar HTTPS como padrão a partir de abril de 2026, visando aumentar a segurança dos usuários. Por fim, uma avaliação da segurança cibernética do setor energético dos EUA revelou uma exposição significativa à internet, com quase 40 mil hosts vulneráveis. Esses eventos destacam a necessidade urgente de ações proativas por parte das organizações para proteger seus ativos digitais.

Pesquisadores de segurança da XLab identificaram uma expansão significativa da botnet PolarEdge, que comprometeu mais de 25.000 dispositivos e 140 servidores de comando e controle (C2) em 40 países. A descoberta se concentrou em um novo componente, o RPX_Client, que transforma dispositivos IoT vulneráveis em nós proxy para operações cibernéticas. O ataque foi detectado em 30 de maio de 2025, quando um arquivo ELF chamado ‘w’ começou a ser distribuído, inicialmente sem detecções no VirusTotal, sugerindo uma campanha furtiva. A maioria dos dispositivos infectados está localizada na Coreia do Sul (41,97%), seguida pela China (20,35%) e Tailândia (8,37%). Os alvos principais incluem câmeras de vigilância KT CCTV e gravadores de vídeo digitais da Shenzhen TVT, além de roteadores Asus e Cisco. A infraestrutura RPX_Server opera em servidores virtuais privados, principalmente na Alibaba Cloud e Tencent Cloud, utilizando um certificado PolarSSL idêntico, o que facilitou a validação dos servidores ativos. O design da botnet complica os esforços de atribuição, tornando a identificação de origens de ataques mais desafiadora.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

A IBM X-Force identificou uma campanha de phishing coordenada que visou usuários colombianos entre agosto e outubro de 2025. Os atacantes utilizaram comunicações judiciais falsificadas para distribuir o Trojan de Acesso Remoto (RAT) PureHVNC por meio do carregador de malware Hijackloader. Essa campanha é significativa, pois representa a primeira vez que o PureHVNC foi direcionado a usuários de língua espanhola e a primeira campanha do Hijackloader focada especificamente em vítimas da América Latina.

O Atroposia é um novo trojan de acesso remoto (RAT) que vem ganhando popularidade em fóruns underground, sendo oferecido como um kit de ferramentas de cibercrime acessível e modular. Com um custo de aproximadamente R$ 1.000 por seis meses, ele é projetado para atacantes com pouca ou nenhuma habilidade técnica. Entre suas funcionalidades, destaca-se o HRDP Connect, que permite acesso remoto invisível ao desktop da vítima, possibilitando que os atacantes interajam com o sistema sem serem detectados. Além disso, o Atroposia inclui um módulo de escaneamento de vulnerabilidades, que identifica falhas em sistemas comprometidos, e mecanismos robustos de persistência que garantem a continuidade do acesso mesmo após reinicializações. Outro recurso preocupante é a captura do conteúdo da área de transferência, que pode extrair informações sensíveis em tempo real. O uso de técnicas como o sequestro de DNS para redirecionar tráfego também é uma ameaça significativa, permitindo ataques de phishing e comprometimento de redes. A Varonis alerta que a evolução de ferramentas como o Atroposia representa um desafio crescente para a segurança cibernética, exigindo que as empresas adotem análises comportamentais avançadas para detectar atividades suspeitas.

Pesquisadores de cibersegurança descobriram um conjunto de 10 pacotes npm maliciosos que têm como objetivo roubar informações de sistemas Windows, Linux e macOS. Esses pacotes, que foram carregados no repositório em 4 de julho de 2025, acumulam mais de 9.900 downloads. Eles se disfarçam como bibliotecas populares, como TypeScript e discord.js, e utilizam quatro camadas de ofuscação para esconder seu código malicioso. Após a instalação, o malware exibe um CAPTCHA falso para parecer legítimo e captura o endereço IP da vítima, enviando-o para um servidor externo. O malware, que é ativado automaticamente durante a instalação, coleta credenciais de gerenciadores de senhas, navegadores e serviços de autenticação, armazenando essas informações em um arquivo ZIP que é enviado para o servidor do atacante. O uso de técnicas de ofuscação complexas dificulta a análise do código, permitindo que o malware opere sem ser detectado. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger desenvolvedores e suas máquinas contra ameaças emergentes.

Recentemente, o grupo de ameaças cibernéticas associado à Coreia do Norte, conhecido como Lazarus Group, tem direcionado suas atividades para os setores de Web3 e blockchain através de duas campanhas chamadas GhostCall e GhostHire. De acordo com a Kaspersky, essas operações fazem parte de uma iniciativa mais ampla chamada SnatchCrypto, que está em andamento desde 2017. A campanha GhostCall foca em dispositivos macOS de executivos de empresas de tecnologia e capital de risco, utilizando táticas de engenharia social via Telegram para convidar as vítimas a reuniões de investimento em sites de phishing que imitam plataformas como Zoom. Já a GhostHire visa desenvolvedores Web3, induzindo-os a baixar repositórios maliciosos do GitHub sob o pretexto de avaliações de habilidades. Ambas as campanhas têm mostrado um aumento na atividade desde 2023, com um foco particular em países como Japão, Itália e Austrália. As técnicas utilizadas incluem a instalação de malwares sofisticados que podem roubar credenciais e dados sensíveis, representando um risco significativo para as organizações afetadas.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Herodotus, que está em campanhas ativas visando usuários na Itália e no Brasil. O malware, que foi anunciado em fóruns underground em setembro de 2025, é projetado para realizar ataques de tomada de controle de dispositivos (DTO) e se destaca por tentar imitar o comportamento humano para evitar a detecção por biometria comportamental. Herodotus é distribuído por aplicativos disfarçados, como uma versão falsa do Google Chrome, e utiliza serviços de acessibilidade para interagir com a tela do dispositivo, exibir telas de login falsas e roubar credenciais. Além disso, o trojan pode interceptar códigos de autenticação de dois fatores (2FA) e instalar arquivos APK remotamente. Uma característica inovadora do Herodotus é a introdução de atrasos aleatórios nas ações remotas, o que simula a digitação humana e dificulta a detecção por soluções antifraude. O malware está em desenvolvimento ativo e já mira organizações financeiras em diversos países, incluindo os EUA e o Reino Unido, ampliando seu alcance. A ameaça representa um risco significativo para usuários de dispositivos Android, especialmente em um contexto onde a segurança financeira é crítica.

Pesquisadores da Infoblox descobriram que o Universe Browser, um navegador popular na China, é na verdade um malware que espiona os usuários. Promovido como uma ferramenta segura e focada em privacidade, o software registra tudo o que o usuário digita, altera configurações de rede e instala programas ocultos. O grupo criminoso por trás do navegador, conhecido como Vault Viper, está ligado a atividades de jogos de azar ilegais e crime organizado no Sudeste Asiático. O navegador, que se disfarça como uma alternativa segura a navegadores tradicionais, tem milhões de usuários que acreditam estar protegidos, mas na realidade, seu tráfego é monitorado por servidores na China. A análise técnica revela que o Universe Browser utiliza técnicas de evasão para evitar detecções e compromete a segurança do sistema, desabilitando recursos cruciais e permitindo acesso remoto aos cibercriminosos. A situação é um alerta para usuários que buscam privacidade online, enfatizando a importância de desconfiar de softwares que prometem segurança e anonimato, especialmente aqueles distribuídos em sites de jogos de azar. Para se proteger, é essencial baixar aplicativos apenas de desenvolvedores confiáveis e verificar a reputação dos softwares antes da instalação.

Um novo relatório da Group-IB Threat Intelligence revelou uma campanha de espionagem sofisticada conduzida pelo grupo MuddyWater, vinculado ao Irã, que está atacando mais de 100 organizações governamentais e internacionais em todo o mundo. A operação utiliza contas de e-mail comprometidas acessadas através de um nó de saída do NordVPN na França para distribuir documentos maliciosos do Microsoft Word que contêm o malware Phoenix backdoor versão 4. Essa campanha de phishing sofisticada explora técnicas de engenharia social, levando os destinatários a ativar macros para visualizar o conteúdo, o que contorna os filtros de segurança convencionais.

Um novo Trojan bancário para Android, chamado Herodotus, foi identificado como uma ameaça sofisticada que utiliza técnicas avançadas para evitar a detecção por biometria comportamental. Desenvolvido por um grupo conhecido como ‘K1R0’, o malware simula padrões de interação humana durante sessões de fraude, introduzindo atrasos aleatórios entre os eventos de entrada de texto, o que dificulta a identificação por sistemas de análise de digitação. Herodotus combina funcionalidades do Trojan Brokewell e é oferecido como Malware-as-a-Service em fóruns clandestinos, indicando sua ampla adoção comercial.

Em setembro de 2025, uma nova campanha de ciberespionagem, atribuída ao grupo SideWinder, visou uma embaixada europeia em Nova Délhi e diversas organizações em Sri Lanka, Paquistão e Bangladesh. Os ataques, que ocorreram em quatro ondas de phishing entre março e setembro, utilizam uma cadeia de infecção baseada em arquivos PDF e ClickOnce, além de vetores de exploração do Microsoft Word. Os e-mails de phishing continham documentos maliciosos com títulos como ‘Credenciais da reunião interministerial.pdf’, disfarçados para parecerem legítimos. Ao abrir os arquivos, os usuários eram induzidos a baixar um aplicativo que, na verdade, instalava um DLL malicioso, o DEVOBJ.dll, que carregava o malware StealerBot. Este malware é capaz de coletar informações sensíveis, como senhas e capturas de tela. A evolução das técnicas de ataque do SideWinder demonstra sua adaptabilidade e sofisticação, refletindo um entendimento profundo dos contextos geopolíticos. A utilização de malware personalizado e a exploração de aplicações legítimas para evasão de segurança reforçam a necessidade de vigilância constante por parte das organizações.

Uma falha de segurança no Google Chrome, identificada como CVE-2025-2783, foi explorada em uma campanha de espionagem chamada Operation ForumTroll, que visou organizações na Rússia. A vulnerabilidade, que possui um CVSS de 8.3, permitiu que atacantes enviassem e-mails de phishing com links maliciosos que, ao serem clicados, ativavam um exploit para escapar do sandbox do navegador. Isso possibilitou a entrega de um spyware desenvolvido pela Memento Labs, chamado LeetAgent, que se conecta a um servidor de comando e controle para executar uma variedade de tarefas, incluindo a coleta de dados sensíveis. Os ataques foram direcionados a instituições de mídia, universidades e órgãos governamentais, com o objetivo de espionagem. A Memento Labs, formada pela fusão de empresas com histórico de venda de ferramentas de vigilância, tem suas operações ligadas a um grupo APT conhecido como ForumTroll. A exploração da falha foi documentada desde fevereiro de 2024, e a Kaspersky observou que a operação é caracterizada por um alto nível de sofisticação e direcionamento específico, com indícios de que os atacantes não são nativos russos. A situação destaca a necessidade urgente de atenção à segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados.

A atualização do sistema operacional iOS 26 da Apple introduziu uma mudança significativa no funcionamento do arquivo shutdown.log, que pode ter consequências graves para a segurança dos dispositivos. Este arquivo, que anteriormente registrava atividades do sistema durante o desligamento, agora é sobrescrito a cada reinicialização, eliminando evidências cruciais de infecções por malwares sofisticados como Pegasus e Predator. Essa alteração pode ser vista como uma falha de design ou um bug, mas suas implicações são profundas, especialmente para usuários que podem ter sido infectados sem saber. Antes da atualização, pesquisadores de segurança podiam identificar indicadores de comprometimento através de anomalias nesse log, mas agora, com a remoção automática de dados históricos, dispositivos comprometidos se tornam indistinguíveis de sistemas limpos. A situação é alarmante, pois ataques de spyware continuam a atingir figuras de destaque globalmente. Para mitigar riscos, usuários são aconselhados a extrair e preservar dados do sysdiagnose antes de atualizar para o iOS 26, garantindo que informações sobre possíveis infecções sejam mantidas.

Um estudo da Check Point Research revelou a existência de uma rede maliciosa no YouTube, chamada de ‘YouTube Ghost Network’, que tem como objetivo disseminar malwares através de vídeos. Desde 2021, mais de 3.000 vídeos foram publicados, e a atividade aumentou significativamente em 2025, com um volume de publicações que triplicou desde o início do ano. Os hackers utilizam contas legítimas invadidas ou criam novas para publicar vídeos que, à primeira vista, parecem tutoriais, mas que na verdade direcionam os usuários para sites de download de malwares. Os vídeos incluem links que levam a plataformas como Mediafire e Dropbox, onde os usuários podem inadvertidamente baixar softwares maliciosos como Lumma Stealer e Rhadamanthys. A operação é complexa, com diferentes tipos de contas que desempenham papéis variados, como a publicação de vídeos e a interação com comentários e likes, para dar legitimidade ao conteúdo. Apesar da remoção de muitos vídeos pela Google, a rede continua ativa e em evolução, evidenciando a exploração das táticas de engajamento da plataforma para enganar os usuários.

O grupo de ameaças cibernéticas conhecido como Famous Chollima, vinculado ao Bureau Geral de Reconhecimento da Coreia do Norte, aprimorou suas capacidades de malware ao combinar as funcionalidades dos malwares BeaverTail e OtterCookie em variantes unificadas de infostealers. A nova campanha do grupo utiliza táticas enganosas de recrutamento de emprego e ataques à cadeia de suprimentos através de pacotes maliciosos do NPM, visando profissionais de criptomoedas e blockchain.

O ataque recente focou em um aplicativo de xadrez temático de criptomoedas chamado Chessfi, distribuído por meio de um repositório comprometido do Bitbucket. Ao clonar o repositório, os usuários baixaram automaticamente o pacote malicioso “node-nvm-ssh” do NPM, que executou scripts JavaScript ofuscados. O BeaverTail se concentra na enumeração de perfis de navegador, visando extensões de carteiras de criptomoedas como MetaMask e Phantom, enquanto o OtterCookie oferece acesso remoto e coleta de dados sensíveis.

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Hackers estão explorando chaves de máquina ASP.NET expostas para injetar um módulo malicioso sofisticado conhecido como “HijackServer” em servidores do Internet Information Services (IIS). Essa vulnerabilidade, que afeta centenas de servidores web globalmente, permite a execução remota de código e compromete a segurança de organizações de todos os tamanhos. Os atacantes identificam aplicações ASP.NET com chaves fracas ou publicamente divulgadas, o que facilita a manipulação do viewstate e a execução de código arbitrário no servidor. Uma vez dentro, eles utilizam técnicas de escalonamento de privilégios para obter controle administrativo e implantam ferramentas de acesso remoto. O HijackServer, um módulo nativo do IIS, não apenas serve como uma porta dos fundos não autenticada, mas também gera páginas de investimento falsas para enganar usuários. Os administradores são aconselhados a rotacionar suas chaves de máquina ASP.NET e a monitorar seus ambientes IIS em busca de módulos suspeitos, uma vez que a exposição de segredos pode deixar as organizações vulneráveis, mesmo que as falhas sejam corrigidas.

O grupo de ameaças Vault Viper, recentemente identificado pela Infoblox Threat Intelligence, está focado na indústria de apostas online na Ásia, utilizando um navegador personalizado para distribuir malware. O navegador, chamado Universe Browser, é uma versão modificada do Chromium, promovida como uma solução de privacidade para apostadores, permitindo o acesso a plataformas de apostas em países onde o jogo é ilegal. No entanto, análises técnicas revelam que o navegador possui características de malware, como o redirecionamento de tráfego por servidores proxy controlados pelos atacantes e a instalação de programas persistentes em segundo plano.

Uma nova ameaça cibernética chamada RedTiger está circulando, visando gamers em todo o mundo, especialmente aqueles que utilizam o Discord. Este infostealer foi projetado para roubar credenciais do Discord, contas de jogos e informações financeiras sensíveis. Inicialmente, RedTiger era uma ferramenta legítima de red-teaming lançada em 2024, mas agora foi adaptada por cibercriminosos para fins maliciosos. O malware injeta código malicioso diretamente no aplicativo Discord, além de coletar senhas salvas no navegador, informações de cartões de pagamento e credenciais de carteiras de criptomoedas. O RedTiger utiliza um processo de roubo de dados em duas etapas, enviando as informações roubadas para um serviço de armazenamento em nuvem, o que dificulta a rastreabilidade dos atacantes. Com mecanismos de persistência sofisticados, o malware pode reiniciar automaticamente após a inicialização do sistema, garantindo acesso contínuo ao dispositivo infectado. A natureza de código aberto do RedTiger permite que qualquer um modifique a ferramenta, criando variações que dificultam a detecção por softwares antivírus. Diante disso, é crucial que os gamers adotem práticas de segurança, como evitar downloads de fontes não confiáveis e utilizar senhas fortes e únicas.

Pesquisadores de segurança da Proofpoint desenvolveram uma ferramenta inovadora de código aberto chamada PDF Object Hashing, que auxilia equipes de segurança na detecção e rastreamento de arquivos maliciosos disfarçados como documentos PDF. Disponível no GitHub, essa ferramenta representa um avanço significativo na identificação de documentos suspeitos frequentemente utilizados em campanhas de phishing, distribuição de malware e ataques de comprometimento de e-mail corporativo.

Os PDFs se tornaram a escolha preferida dos cibercriminosos, pois parecem legítimos para os usuários comuns. Os atacantes frequentemente enviam PDFs contendo URLs maliciosas, códigos QR ou informações bancárias falsas para enganar as pessoas. No entanto, ferramentas de segurança tradicionais costumam falhar em detectar essas ameaças, uma vez que os PDFs podem ser modificados de várias maneiras, mantendo a aparência idêntica para os usuários.

Uma rede maliciosa de contas do YouTube, chamada de YouTube Ghost Network, tem sido utilizada para publicar e promover vídeos que levam a downloads de malware. Desde 2021, essa rede já publicou mais de 3.000 vídeos maliciosos, com um aumento significativo no número de publicações desde o início de 2025. Os vídeos, que frequentemente abordam softwares pirateados e cheats de jogos como Roblox, são projetados para infectar usuários desavisados com malware do tipo stealer. A operação se aproveita da confiança dos usuários em plataformas populares, utilizando métricas como visualizações e comentários para dar uma falsa sensação de segurança. A maioria das contas comprometidas é utilizada para carregar vídeos de phishing, enquanto outras promovem mensagens que direcionam para links maliciosos. O Google já removeu uma parte significativa desses conteúdos, mas a estrutura modular da rede permite que novas contas sejam rapidamente criadas para substituir as banidas, mantendo a operação ativa. Entre os malwares distribuídos estão variantes como Lumma Stealer e Rhadamanthys Stealer, que têm como alvo informações sensíveis dos usuários. Essa situação destaca a crescente sofisticação das táticas de distribuição de malware, que agora utilizam plataformas legítimas para enganar os usuários.

Um grupo de hackers vinculado ao Paquistão, conhecido como Transparent Tribe (APT36), tem realizado ataques de spear-phishing direcionados a entidades governamentais indianas, utilizando um malware baseado em Golang chamado DeskRAT. As atividades foram observadas entre agosto e setembro de 2025 e envolvem o envio de e-mails de phishing com anexos ZIP ou links para arquivos em serviços de nuvem legítimos, como Google Drive. O malware é projetado para operar em sistemas Linux, especificamente o BOSS (Bharat Operating System Solutions), e permite o controle remoto através de WebSockets. O DeskRAT possui múltiplos métodos de persistência e comandos para coletar informações, como listar diretórios e enviar arquivos. Além disso, a campanha se expandiu para incluir variantes do malware que atacam sistemas Windows, mostrando um foco cross-platform. A crescente sofisticação das operações do grupo, que utiliza servidores dedicados para distribuição de malware, destaca a evolução das ameaças cibernéticas na região da Ásia-Pacífico, com implicações potenciais para a segurança de dados e conformidade com a LGPD no Brasil.

A Check Point Research revelou a existência da YouTube Ghost Network, uma campanha sofisticada de distribuição de malware que explora os mecanismos de confiança da plataforma. Desde 2021, mais de 3.000 vídeos maliciosos foram identificados, com um aumento significativo em 2025, triplicando o número de uploads maliciosos em comparação aos anos anteriores. A operação utiliza contas comprometidas divididas em três papéis principais: uploaders de vídeo, publicadores de postagens e impulsionadores de interação. Os vídeos frequentemente promovem softwares piratas e instruem os usuários a desativar o Windows Defender antes da instalação. Após a interrupção do infostealer Lumma, os operadores rapidamente migraram para o Rhadamanthys, utilizando servidores de comando e controle rotativos para evitar detecções. A análise dos vídeos revelou um padrão de ataque focado em categorias de alto tráfego, como ‘Game Hacks/Cheats’ e ‘Software Cracks/Piracy’. Embora a Check Point tenha conseguido derrubar muitos desses vídeos, a necessidade de uma colaboração coordenada entre operadores de plataformas, fornecedores de segurança e autoridades é crucial para combater futuras operações da Ghost Network.

Pesquisadores de cibersegurança identificaram um worm autorreplicante, denominado GlassWorm, que se espalha por meio de extensões do Visual Studio Code (VS Code) disponíveis no Open VSX Registry e no Microsoft Extension Marketplace. Este ataque sofisticado, o segundo do tipo em um mês, utiliza a blockchain Solana para seu comando e controle (C2), o que dificulta a sua neutralização. Além disso, o worm emprega caracteres Unicode invisíveis para ocultar o código malicioso nos editores de código.

Pesquisadores de segurança da Wordfence analisaram uma nova cepa de malware que utiliza a capacidade de funções variáveis do PHP e cookies para obfuscação sofisticada, dificultando a detecção. Embora a técnica não seja nova, ela evolui constantemente e é prevalente em ataques direcionados a ambientes WordPress. Em setembro de 2025, foram registradas mais de 30.000 detecções desse tipo de malware, todas bloqueadas pelas assinaturas de malware da Wordfence.

O malware se aproveita da funcionalidade de ‘funções variáveis’ do PHP, permitindo que nomes de funções sejam armazenados em variáveis e executados dinamicamente. Isso facilita a execução de comandos arbitrários, tornando a detecção mais difícil, especialmente quando os nomes das funções são construídos de forma dinâmica. Além disso, a análise revelou que esses malwares frequentemente utilizam cookies para acionar a execução de scripts, dependendo da presença de um número específico de cookies e marcadores.

O artigo destaca como cibercriminosos aproveitam vulnerabilidades em sistemas e na confiança dos usuários para realizar ataques. Um exemplo é a queda na atividade do malware Lumma Stealer, que ocorreu após a exposição de identidades de seus desenvolvedores, resultando na migração de clientes para outras ferramentas como Vidar Stealer 2.0. Este novo malware, reescrito em C, apresenta técnicas avançadas de extração de credenciais e evasão de detecções. Além disso, um esquema de fraude em larga escala em Cingapura utilizou imagens de autoridades locais para enganar cidadãos em uma plataforma de investimentos falsa, demonstrando como a confiança em instituições pode ser manipulada. Outro ponto crítico é a descoberta de um pacote npm malicioso que comprometeu a cadeia de suprimentos de software, reforçando a necessidade de cautela ao instalar pacotes de código aberto. O artigo também menciona a multa de $176 milhões imposta ao Cryptomus, uma plataforma de pagamentos digitais, por não reportar transações suspeitas ligadas a crimes graves. A SpaceX desativou dispositivos Starlink usados em centros de fraude na região do Sudeste Asiático, evidenciando a resposta a crimes cibernéticos em escala global.

O grupo de ameaças persistentes avançadas (APT) MuddyWater, vinculado ao Irã, lançou uma operação de ciberespionagem sofisticada utilizando um novo toolkit de malware. A campanha, atribuída com alta confiança pela Group-IB Threat Intelligence, envolve o uso do backdoor Phoenix v4, ferramentas personalizadas e software legítimo de monitoramento remoto. O ataque começou com o acesso a uma caixa de correio comprometida via NordVPN, permitindo a distribuição de e-mails maliciosos que pareciam legítimos. Esses e-mails continham anexos do Microsoft Word que, ao terem suas macros ativadas, executavam um código VBA embutido, que por sua vez injetava o backdoor no sistema. O Phoenix v4 estabelece comunicação remota e coleta dados do sistema, mantendo-se ativo mesmo após reinicializações. A operação visou mais de 100 organizações governamentais e internacionais, destacando a crescente maturidade técnica do MuddyWater e a necessidade urgente de controles de defesa mais robustos, como a restrição de macros e o monitoramento de ferramentas de RMM. Os indicadores de comprometimento (IOCs) incluem domínios e hashes específicos, que podem ajudar na identificação de sistemas afetados.

O Centro de Pesquisa Avançada da Trellix revelou uma nova campanha do grupo APT SideWinder, que utiliza um encadeamento de infecção baseado em PDF e ClickOnce para atacar alvos governamentais na Ásia do Sul. A campanha, ocorrida em setembro de 2025, visou diplomatas de países como Sri Lanka, Paquistão e Bangladesh, utilizando e-mails de phishing com documentos que pareciam legítimos. Ao clicar em um botão malicioso no PDF, as vítimas baixaram um aplicativo ClickOnce disfarçado de instalador do Adobe Reader, que, na verdade, carregava um DLL malicioso. Essa DLL, assinada com um certificado legítimo, permitiu a instalação de um malware chamado StealerBot. A análise da Trellix destacou que o SideWinder explorou uma vulnerabilidade no processo de instalação do ClickOnce, permitindo que dependências maliciosas fossem baixadas sem verificação de assinatura. O ataque demonstrou um nível elevado de sofisticação, com técnicas de evasão e obfuscação para dificultar a análise por pesquisadores fora da região. A campanha reflete a evolução das táticas do grupo, que agora utiliza métodos mais complexos para contornar defesas tradicionais e realizar espionagem.

O grupo de ciberespionagem iraniano MuddyWater está por trás de uma nova campanha que utiliza uma conta de e-mail comprometida para distribuir um backdoor chamado Phoenix. Este ataque visa mais de 100 entidades governamentais na região do Oriente Médio e Norte da África (MENA), com foco em embaixadas, ministérios de Relações Exteriores e organizações internacionais. A campanha se destaca pelo uso de e-mails de phishing que parecem autênticos, aumentando a probabilidade de que os destinatários abram anexos maliciosos. Os pesquisadores de segurança da Group-IB relataram que o ataque envolve documentos do Microsoft Word que, ao serem abertos, solicitam que os usuários ativem macros, permitindo a execução de código VBA malicioso que instala o backdoor Phoenix. Este backdoor é carregado por um loader chamado FakeUpdate, que contém um payload criptografado. MuddyWater, que opera desde 2017 e está associado ao Ministério da Inteligência e Segurança do Irã, demonstrou uma capacidade aprimorada de integrar código personalizado com ferramentas comerciais para aumentar a furtividade e a persistência do ataque. A campanha representa um risco significativo para a segurança cibernética, especialmente para organizações governamentais e diplomáticas na região.

Pesquisadores da CyberProof identificaram um aumento significativo nas infecções pelo Trojan de Acesso Remoto (RAT) Remcos entre setembro e outubro de 2025. Essa campanha de malware, que se espalha principalmente por meio de anexos de e-mail e engenharia social, representou cerca de 11% de todos os incidentes de roubo de informações no trimestre. Embora seja comercializado como uma ferramenta legítima de administração remota, o Remcos é frequentemente utilizado por cibercriminosos para roubo de credenciais e operações de persistência. Em um ataque recente, os alvos receberam e-mails de phishing com um arquivo compactado que, ao ser extraído, executou um script PowerShell ofuscado. Este script estabeleceu conexões web seguras e baixou um payload codificado, que foi executado diretamente na memória, confirmando a técnica de execução fileless. A injeção de código malicioso ocorreu em um processo legítimo, o RmClient.exe, dificultando a detecção por sistemas de defesa como EDRs. A análise revelou que os atacantes estavam focados em roubar credenciais armazenadas em navegadores, levando a alertas parciais de EDR. A campanha destaca a necessidade de as organizações reforçarem suas camadas de detecção e vigilância contra iscas de phishing direcionadas.

Em meados de outubro de 2025, o site oficial do Xubuntu foi comprometido por atacantes que alteraram os links de download de torrents. Em vez de fornecer os arquivos .torrent legítimos, os visitantes foram direcionados para um arquivo ZIP malicioso intitulado ‘Xubuntu-Safe-Download.zip’. Dentro deste arquivo, encontrava-se um executável do Windows, ‘TestCompany.SafeDownloader.exe’, acompanhado de um arquivo ’tos.txt’ que continha uma falsa declaração de direitos autorais de 2026. O ataque, descoberto em 18 de outubro, destaca os riscos crescentes enfrentados por sites de distribuições Linux mantidos pela comunidade, especialmente com a migração de usuários do Windows 10, que chegou ao fim do suporte. O malware, projetado para roubar criptomoedas, foi identificado por membros das comunidades r/xubuntu e r/Ubuntu, que alertaram sobre a anomalia. Após a confirmação do ataque, os mantenedores do Xubuntu desativaram rapidamente a página comprometida e recomendaram que os usuários verificassem as somas de verificação dos arquivos ISO. Até o momento, não foram relatadas infecções confirmadas ou perdas de criptomoedas, mas o incidente serve como um lembrete da importância de práticas rigorosas de segurança em projetos de código aberto.