Malware

Pesquisadores de cibersegurança identificaram três pacotes no repositório Python Package Index (PyPI) que têm como objetivo oculto a entrega de uma nova família de malware chamada ZiChatBot, afetando sistemas Windows e Linux. Segundo a Kaspersky, embora os pacotes ‘uuid32-utils’, ‘colorinal’ e ’termncolor’ apresentem funcionalidades legítimas, sua verdadeira intenção é disseminar arquivos maliciosos. O malware ZiChatBot se diferencia por não se comunicar com um servidor de comando e controle (C2) tradicional, utilizando em vez disso APIs REST do aplicativo de chat Zulip. Os pacotes foram carregados entre 16 e 22 de julho de 2025, e, ao serem instalados, extraem um dropper DLL no Windows e um dropper de objeto compartilhado no Linux, que se auto-exclui após a execução. A Kaspersky sugere que a campanha pode estar ligada ao grupo de hackers OceanLotus, que já foi observado utilizando métodos semelhantes para comprometer a comunidade de cibersegurança na China. Essa nova abordagem de ataque representa uma evolução nas táticas do grupo, que busca ampliar seu escopo de alvos.

Pesquisadores da Zimperium identificaram quatro campanhas de trojans bancários para Android, denominadas RecruitRat, SaferRat, Astrinox e Massiv, que visam mais de 800 aplicativos financeiros e de redes sociais. Esses malwares utilizam técnicas de engano e furtividade, como ocultar ícones de aplicativos e sobrepor telas falsas de login, para roubar credenciais financeiras dos usuários. Os atacantes direcionam as vítimas a sites falsos que imitam portais de emprego ou serviços de streaming, levando-as a instalar software malicioso. Uma vez instalado, o malware solicita permissões de acessibilidade, permitindo monitorar ações e capturar informações sem o conhecimento do usuário. Além disso, algumas variantes conseguem se esconder completamente, dificultando a remoção. Os ataques também incluem a transmissão ao vivo da tela do dispositivo para os servidores dos atacantes, permitindo a interceptação em tempo real das etapas de autenticação. A complexidade das técnicas de instalação e a evolução dos métodos de evasão tornam a detecção por ferramentas de segurança tradicionais cada vez mais difícil.

Um grupo de hackers da Coreia do Norte, conhecido como APT37 ou ScarCruft, comprometeu uma plataforma de jogos voltada para a comunidade coreana em Yanbian, na China, utilizando um malware chamado BirdCall. Este ataque, que começou em 2024, afeta tanto sistemas Windows quanto Android. No Windows, o malware permite roubo de dados, execução de comandos e captura de telas, enquanto no Android, ele pode extrair contatos, mensagens, arquivos de mídia e até áudio ambiente. A plataforma SQgame, que oferece jogos temáticos da região, continua hospedando jogos maliciosos, especialmente para dispositivos Android. O foco do ataque parece ser a população coreana na China, incluindo refugiados e desertores, o que levanta preocupações sobre a segurança de dados pessoais e a privacidade desses indivíduos. A ESET, empresa de segurança cibernética que reportou o incidente, observa que o malware está sendo ativamente mantido, com atualizações frequentes, o que indica um esforço contínuo dos atacantes para explorar essa vulnerabilidade.

Pesquisadores de cibersegurança revelaram a existência de uma nova botnet chamada xlabs_v1, derivada do Mirai, que se especializa em atacar dispositivos expostos à Internet que utilizam o Android Debug Bridge (ADB). A descoberta foi feita pela Hunt.io, que identificou um diretório exposto em um servidor na Holanda. A botnet é capaz de realizar ataques de negação de serviço distribuído (DDoS) e oferece 21 variantes de ataque, utilizando protocolos TCP, UDP e outros. O foco principal são dispositivos Android, como caixas de TV e roteadores, que têm o ADB habilitado por padrão. Além disso, a botnet é projetada para coletar informações sobre a largura de banda dos dispositivos comprometidos, permitindo que o operador classifique os dispositivos em diferentes faixas de preço para serviços de DDoS. A operação é considerada de médio porte, mais sofisticada que versões anteriores do Mirai, mas ainda assim acessível a criminosos. A situação é alarmante, especialmente para o setor de jogos, que já foi alvo de ataques semelhantes. A Hunt.io recomenda que operadores de servidores de jogos implementem medidas de mitigação adequadas para se proteger contra esses ataques.

O grupo hacker norte-coreano ScarCruft comprometeu a plataforma de jogos sqgame.net, utilizando um ataque de cadeia de suprimentos para disseminar o malware BirdCall, que transforma jogos em trojans. Inicialmente, o malware afetava apenas usuários do Windows, mas agora também impacta dispositivos Android, conforme relatado pela empresa de cibersegurança ESET. O foco principal dos ataques são coreanos residentes na China, especialmente desertores da Coreia do Norte, que utilizam a plataforma como um meio de comunicação e entretenimento. A campanha foi descoberta em outubro de 2025, mas os jogos infectados ainda estão disponíveis para download. O malware BirdCall permite que os hackers capturem telas, registrem teclas digitadas e acessem arquivos do dispositivo. Embora a versão para desktop não esteja infectada, os APKs disponíveis no site da plataforma estão comprometidos. A evolução do malware, que começou com o RokRAT, destaca a adaptação dos ataques para diferentes sistemas operacionais, incluindo macOS e Android. A situação é preocupante, pois qualquer jogador que tenha baixado os jogos pode estar em risco.

Pesquisadores de segurança da Cisco Talos identificaram uma nova variante do trojan de acesso remoto (RAT) CloudZ, que utiliza um plugin chamado Pheno para explorar a ferramenta Microsoft Phone Link. Essa ferramenta permite que usuários conectem seus dispositivos Android e iOS aos computadores com Windows 10 e 11, facilitando a realização de chamadas e o envio de mensagens. No entanto, o plugin Pheno permite que atacantes interceptem mensagens SMS e senhas temporárias (OTPs) sem precisar comprometer o telefone. Ao monitorar sessões ativas do Phone Link, o malware acessa um banco de dados local que armazena essas informações, comprometendo assim a autenticação de dois fatores (2FA). Os pesquisadores alertam que, embora o Phone Link seja uma funcionalidade útil, sua exploração pode levar a sérias vulnerabilidades de segurança. Eles recomendam que os usuários evitem serviços de OTP baseados em SMS e optem por aplicativos de autenticação que não dependam de notificações interceptáveis. A Cisco Talos ainda não conseguiu determinar como os usuários foram infectados, mas enfatiza a necessidade de precauções adicionais para proteger informações sensíveis.

A Disc Soft Limited, desenvolvedora do DAEMON Tools Lite, confirmou que o software foi comprometido em um ataque à cadeia de suprimentos, resultando na liberação de uma versão trojanizada. A empresa anunciou que já corrigiu a vulnerabilidade e lançou a versão 12.6, livre de malware, em 5 de maio. O ataque, que afetou usuários que baixaram a versão 12.5.1 desde 8 de abril, permitiu que hackers instalassem um backdoor em milhares de sistemas em mais de 100 países, incluindo Brasil, Rússia e Alemanha. O malware inicial coletava dados do sistema e, em alguns casos, um backdoor mais avançado foi implantado, permitindo execução de comandos e download de arquivos. A Disc Soft removeu a versão comprometida e recomenda que os usuários afetados desinstalem o software, realizem uma varredura completa com antivírus e instalem a nova versão. A Kaspersky, que investigou o incidente, destacou que o malware afetou organizações de diversos setores e que a nova versão do DAEMON Tools não apresenta mais comportamentos maliciosos.

Pesquisadores de cibersegurança da Cisco Talos divulgaram detalhes sobre uma intrusão que utiliza a ferramenta de acesso remoto CloudZ RAT e um plugin não documentado chamado Pheno, com o objetivo de roubar credenciais de usuários. O ataque se destaca por explorar a aplicação Microsoft Phone Link, que permite a sincronização entre dispositivos, para interceptar dados sensíveis, como senhas e códigos de autenticação de dois fatores (OTPs), sem a necessidade de comprometer o dispositivo móvel.

Desde 8 de abril, hackers têm distribuído instaladores trojanizados do software DAEMON Tools, resultando em uma infecção em milhares de sistemas em mais de 100 países. O ataque de supply chain, que ainda está em andamento, afetou principalmente organizações de varejo, científicas, governamentais e de manufatura na Rússia, Belarus e Tailândia. As versões comprometidas incluem DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, com os arquivos DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe sendo os principais alvos. Após a instalação, o malware coleta informações do sistema e pode baixar e executar cargas adicionais. Em alguns casos, um backdoor mais avançado, chamado QUIC RAT, foi implantado, permitindo a injeção de código malicioso em processos legítimos. A Kaspersky, que está monitorando o ataque, alerta que a complexidade do incidente exige que as organizações verifiquem máquinas que tiveram o DAEMON Tools instalado para atividades anômalas desde a data do ataque. Embora não tenha sido atribuído a um ator específico, acredita-se que os atacantes falem chinês. O ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, que tem sido uma tendência crescente em 2023.

Um novo malware, denominado Quasar Linux (QLNX), foi identificado como uma ameaça significativa aos sistemas de desenvolvedores, combinando funcionalidades de rootkit, backdoor e roubo de credenciais. O QLNX é implantado em ambientes de desenvolvimento e DevOps, como npm, PyPI, GitHub, AWS, Docker e Kubernetes, possibilitando ataques à cadeia de suprimentos ao publicar pacotes maliciosos em plataformas de distribuição de código. Pesquisadores da Trend Micro descobriram que o malware é capaz de compilar dinamicamente objetos compartilhados de rootkit e módulos de backdoor PAM diretamente no sistema alvo, utilizando o compilador GNU (gcc).

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, desenvolveu uma versão para Android de um backdoor chamado BirdCall, que já era conhecido por suas operações em sistemas Windows. Essa nova variante, que atua como spyware, foi identificada em um ataque à cadeia de suprimentos através de uma plataforma de jogos, especificamente o site sqgame[.]net, que hospeda jogos para Android, iOS e Windows. A pesquisa da ESET revelou que a versão Android do BirdCall foi criada em outubro de 2024 e possui pelo menos sete versões diferentes.

Uma nova versão da ferramenta de acesso remoto CloudZ (RAT) está utilizando um plugin malicioso inédito chamado Pheno, que se aproveita da conexão do Microsoft Phone Link para roubar códigos sensíveis de dispositivos móveis. O malware foi identificado em uma intrusão ativa desde janeiro, com o objetivo de roubar credenciais e senhas temporárias. O Microsoft Phone Link, disponível em Windows 10 e 11, permite que os usuários façam chamadas e respondam a mensagens diretamente do computador, o que facilita a interceptação de mensagens sem comprometer o dispositivo móvel. O Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados local SQLite, que pode conter SMS e senhas de uso único (OTPs). Além disso, o CloudZ RAT possui capacidades adicionais, como gerenciamento de arquivos e execução de comandos. A infecção ocorre quando a vítima executa uma atualização falsa do ScreenConnect, que instala um loader baseado em Rust, seguido pela instalação do CloudZ RAT. Para se proteger, recomenda-se evitar serviços de OTP via SMS e optar por aplicativos de autenticação que não dependam de notificações que podem ser interceptadas. A Cisco Talos publicou indicadores de comprometimento que podem ajudar na proteção contra essa ameaça.

O grupo de hackers ScarCruft, alinhado ao governo da Coreia do Norte, realizou um ataque de espionagem na cadeia de suprimentos, comprometendo uma plataforma de jogos voltada para coreanos étnicos na China. O ataque envolveu a inserção de um backdoor chamado BirdCall, que agora afeta tanto usuários de Windows quanto de Android, ampliando seu alcance. A plataforma sqgame[.]net, utilizada por coreanos na região de Yanbian, foi especificamente visada, dada a sua importância como ponto de trânsito para desertores norte-coreanos. O malware BirdCall é uma evolução do RokRAT e possui funcionalidades avançadas, como captura de tela, registro de teclas e roubo de dados pessoais. A distribuição do malware foi feita através de APKs maliciosos disponíveis para download na plataforma, enquanto o cliente para Windows e jogos iOS permaneceram intactos. A análise sugere que o ataque está em andamento desde o final de 2024 e que o backdoor foi desenvolvido para se comunicar com serviços de nuvem legítimos, como Dropbox e pCloud. Este incidente destaca a crescente ameaça de espionagem cibernética direcionada a grupos específicos, como desertores e ativistas de direitos humanos.

Uma versão maliciosa do pacote PyTorch Lightning, publicada no Python Package Index (PyPI), foi descoberta com um payload que rouba credenciais de navegadores, arquivos de ambiente e serviços em nuvem. O desenvolvedor do pacote revelou o ataque à cadeia de suprimentos em 30 de abril, informando que a versão 2.6.3 incluía uma cadeia de execução oculta que baixa e executa um payload JavaScript. O PyTorch Lightning é um framework popular de aprendizado profundo, com mais de 11 milhões de downloads no último mês. O advisory de segurança do mantenedor destaca que a cadeia de execução maliciosa é ativada automaticamente ao importar o pacote, criando um processo em segundo plano que baixa um runtime JavaScript e executa um payload ofuscado de 11,4 MB. O malware, identificado como “ShaiWorm” pelo Microsoft Defender, visa arquivos .env, chaves de API, segredos e dados armazenados em navegadores como Chrome e Firefox. A Microsoft informou que a atividade maliciosa afetou um número limitado de dispositivos e foi contida em um conjunto restrito de ambientes. Os usuários que importaram a versão 2.6.3 devem rotacionar imediatamente suas credenciais. O PyTorch Lightning foi revertido para a versão 2.6.1, considerada segura, enquanto a investigação sobre como a violação ocorreu continua.

O grupo de cibercrime baseado na China, conhecido como Silver Fox, está associado a uma nova campanha de ataques direcionados a organizações na Rússia e na Índia, utilizando um malware chamado ABCDoor. A campanha começou com e-mails de phishing que simulavam comunicações do Departamento de Imposto de Renda da Índia, seguidos por ataques semelhantes a entidades russas. Os e-mails continham arquivos que, ao serem abertos, baixavam um loader modificado em Rust, que por sua vez instalava o backdoor ValleyRAT.

Recentemente, o Microsoft Defender começou a identificar certificados raiz legítimos da DigiCert como o malware Trojan:Win32/Cerdigent.A!dha, resultando em alertas de falsos positivos em larga escala. O problema teve início após uma atualização de assinatura do Defender em 30 de abril, levando à remoção de certificados da loja de confiança do Windows em sistemas afetados. Administradores relataram que os certificados identificados incluem dois hashes específicos. A situação gerou preocupação entre os usuários, muitos dos quais acreditaram que seus dispositivos estavam infectados e optaram por reinstalar o sistema operacional. A Microsoft já lançou uma atualização de inteligência de segurança que corrige as detecções e restaura os certificados removidos. Este incidente ocorre em um contexto em que a DigiCert enfrentou uma violação de segurança, permitindo que atacantes obtivessem certificados de assinatura de código válidos usados para assinar malware. A DigiCert revogou 60 certificados de assinatura de código, incluindo aqueles associados a uma campanha de malware chamada Zhong Stealer. Embora a Microsoft não tenha confirmado uma ligação direta entre os falsos positivos e a violação da DigiCert, a coincidência de tempo e o foco nos certificados da DigiCert levantam questões sobre uma possível conexão.

Uma nova campanha de ataque à cadeia de suprimentos de software foi identificada, utilizando pacotes ‘sleeper’ para disseminar cargas maliciosas que possibilitam o roubo de credenciais, manipulação de ações do GitHub e persistência SSH. A atividade foi atribuída à conta do GitHub ‘BufferZoneCorp’, que publicou repositórios associados a gems Ruby e módulos Go maliciosos. Os pacotes foram removidos do RubyGems e os módulos Go foram bloqueados. Os gems Ruby têm como objetivo automatizar o roubo de credenciais durante a instalação, coletando variáveis de ambiente, chaves SSH e segredos da AWS, que são exfiltrados para um endpoint controlado pelo atacante. Os módulos Go, por sua vez, têm capacidades mais amplas, como manipular fluxos de trabalho do GitHub Actions e adicionar chaves SSH para acesso remoto ao host comprometido. Os usuários que instalaram os pacotes são aconselhados a removê-los, revisar acessos não autorizados e rotacionar credenciais expostas.

Um novo ataque à cadeia de suprimentos de software comprometeu o popular pacote Python Lightning, resultando na publicação de duas versões maliciosas (2.6.2 e 2.6.3) em 30 de abril de 2026. O ataque, que é uma extensão do incidente Mini Shai-Hulud, visa roubo de credenciais. As versões maliciosas contêm um diretório oculto que executa um script Python para baixar e executar um payload JavaScript ofuscado, permitindo o roubo de credenciais, incluindo tokens do GitHub. Esses tokens são validados e utilizados para injetar um payload em até 50 branches de repositórios. Além disso, o malware modifica pacotes npm locais, aumentando o número da versão e repackaging, o que pode levar à disseminação do malware em sistemas de usuários finais. Os administradores do repositório PyPI já isolaram o projeto, e recomenda-se que os desenvolvedores removam as versões afetadas e revertam para a versão 2.6.1. A investigação sobre como a conta do GitHub do projeto foi comprometida ainda está em andamento.

Recentemente, um usuário do Reddit, conhecido como NotAGoat3, afirmou ter baixado uma versão antecipada do aguardado jogo Grand Theft Auto 6 (GTA 6). Em uma postagem na comunidade r/GTA6unmoderated, ele se gabou de ter acesso ao jogo, desafiando críticos e negacionistas. No entanto, após a instalação, o usuário enfrentou sérios problemas em seu computador, que começou a apresentar lentidão e comportamentos estranhos, como um prompt de comando que abria e fechava rapidamente. Posteriormente, ele postou na comunidade r/computerviruses, buscando ajuda para resolver os problemas, que indicavam a possível infecção por um malware. Os sintomas relatados sugerem que o computador pode ter sido comprometido por um vírus de acesso remoto ou utilizado para mineração de criptomoedas. Este incidente serve como um alerta para os fãs de jogos: a cautela é essencial ao baixar arquivos da internet, especialmente versões piratas ou não oficiais de jogos ainda não lançados. O caso destaca a importância de se proteger contra ameaças cibernéticas, que podem se disfarçar como conteúdos atraentes, mas que, na verdade, são armadilhas perigosas.

Em março de 2026, o Atos Threat Research Center (TRC) identificou uma campanha maliciosa sofisticada que visa contas profissionais de alto privilégio, como administradores de empresas e engenheiros de DevOps. A operação utiliza técnicas avançadas, como envenenamento de SEO e uma arquitetura de distribuição em duas etapas via GitHub, para enganar as vítimas. Inicialmente, os usuários são direcionados a um repositório ‘fachada’ otimizado para SEO, que parece legítimo, mas redireciona para um segundo repositório que contém o malware disfarçado de ferramentas administrativas populares. Essa estratégia permite que os atacantes mantenham a visibilidade nos resultados de busca, mesmo após possíveis intervenções. Além disso, a campanha implementa um controle de comando e controle descentralizado utilizando contratos inteligentes na blockchain Ethereum, o que aumenta a resiliência da infraestrutura maliciosa. A análise técnica revela que a campanha continua ativa e evoluindo, com variantes do malware sendo identificadas. A complexidade e a persistência dessa ameaça destacam a necessidade de vigilância contínua e medidas de mitigação eficazes por parte das equipes de segurança cibernética.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo framework de backdoor chamado DEEP#DOOR, desenvolvido em Python, que permite acesso persistente e coleta de informações sensíveis de sistemas comprometidos. O ataque se inicia com a execução de um script em lote que desativa controles de segurança do Windows e extrai um payload Python embutido. A distribuição do malware ocorre, principalmente, através de phishing, embora ainda não se saiba a extensão das infecções. O malware se comunica com um serviço de tunelamento, permitindo ao operador executar comandos remotamente e realizar atividades de espionagem, como captura de tela, acesso à webcam e roubo de credenciais. Além disso, DEEP#DOOR possui várias técnicas de evasão de detecção, dificultando a resposta a incidentes. O uso de um serviço de tunelamento público para comando e controle elimina a necessidade de infraestrutura dedicada, tornando a detecção ainda mais desafiadora. A modularidade do framework sugere que diferentes atores de ameaças podem adaptá-lo para diversos fins, o que representa um risco crescente para a segurança cibernética.

O plugin Quick Page/Post Redirect, utilizado em mais de 70.000 sites WordPress, foi comprometido por um backdoor que permite a injeção de código arbitrário. A vulnerabilidade foi descoberta por Austin Ginder, fundador da provedora de hospedagem WordPress Anchor, após alertas de segurança em 12 sites infectados. O plugin, que serve para criar redirecionamentos, teve versões oficiais (5.2.1 e 5.2.2) que incluíam um mecanismo de autoatualização oculto, apontando para um domínio de terceiros, anadnet[.]com. Embora esse mecanismo tenha sido removido em versões subsequentes, sites que ainda utilizam as versões afetadas receberam silenciosamente uma versão adulterada (5.2.3) que introduziu um backdoor passivo. Esse backdoor é ativado apenas para usuários não logados, dificultando a detecção por administradores. O verdadeiro risco reside na capacidade de execução de código arbitrário, que permanece latente, pois o subdomínio malicioso não está resolvendo atualmente, mas ainda está ativo. A recomendação para os usuários afetados é desinstalar o plugin e aguardar uma versão limpa (5.2.4) do WordPress.org. Ginder também fez um apelo para que os responsáveis pelo backdoor publiquem um manifesto de atualização que force a remoção do código malicioso.

Pesquisadores de cibersegurança descobriram um código malicioso em um pacote npm chamado ‘@validate-sdk/v2’, que foi introduzido como dependência em um projeto do modelo de linguagem Claude Opus da Anthropic. Este pacote, que deveria funcionar como um kit de desenvolvimento de software para validação e geração aleatória segura, na verdade, tem a capacidade de roubar segredos sensíveis do ambiente comprometido. A campanha de malware, denominada PromptMink, está associada a um ator de ameaças da Coreia do Norte conhecido como Famous Chollima, que já esteve envolvido em outras campanhas fraudulentas. O ataque utiliza uma abordagem em camadas, onde pacotes de primeira camada não contêm código malicioso, mas importam pacotes de segunda camada que realmente executam as funções maliciosas. Isso permite que os atacantes acessem carteiras de criptomoedas dos usuários. Além disso, a campanha evoluiu para atingir o Python Package Index (PyPI) e utiliza técnicas de ofuscação e typosquatting para evitar a detecção. O uso de pacotes legítimos para comunicação de comando e controle também foi observado, aumentando a complexidade e a eficácia das operações maliciosas.

Pesquisadores de cibersegurança alertam sobre uma nova campanha de ataque à cadeia de suprimentos que visa pacotes npm relacionados ao SAP, introduzindo malware que rouba credenciais. A campanha, chamada de mini Shai-Hulud, comprometeu versões específicas dos pacotes @cap-js/db-service, @cap-js/postgres e outros, publicadas em 29 de abril de 2026. Os pacotes afetados incluíam um script de pré-instalação que baixava e executava um binário malicioso, aumentando o risco em ambientes de desenvolvedores e CI/CD. O malware é projetado para coletar credenciais locais, tokens do GitHub e npm, além de segredos de nuvem de plataformas como AWS e Azure. Os dados roubados são criptografados e enviados para repositórios públicos no GitHub, criados nas contas das vítimas. A análise revelou que os atacantes comprometeram contas de desenvolvedores para publicar as versões maliciosas. Em resposta, novas versões seguras dos pacotes foram lançadas para mitigar o problema. Este incidente destaca a vulnerabilidade de configurações de agentes de codificação de IA e a necessidade de vigilância constante em ambientes de desenvolvimento.

Um grupo de cibercrime de origem brasileira, conhecido como LofyGang, voltou a atuar após mais de três anos, lançando uma campanha que visa jogadores de Minecraft com um novo malware chamado LofyStealer, disfarçado como um hack do jogo chamado ‘Slinky’. Segundo a empresa de cibersegurança ZenoX, o malware utiliza o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança dos jovens usuários. O LofyGang, ativo desde 2021, já havia sido associado a pacotes maliciosos na plataforma npm, visando roubar dados de cartões de crédito e contas de serviços como Discord Nitro. A nova campanha envolve a execução de um loader em JavaScript que instala o LofyStealer, coletando dados sensíveis de diversos navegadores, como cookies e senhas, que são enviados para um servidor de comando e controle. O uso de plataformas confiáveis como GitHub para disseminar malware destaca um desafio contínuo de segurança, onde os atacantes abusam da confiança social para contornar soluções de segurança tradicionais. Este incidente ressalta a necessidade de vigilância constante e educação sobre segurança digital, especialmente entre os jovens jogadores.

A campanha Glassworm está em uma nova fase, visando o ecossistema OpenVSX com 73 extensões ‘dormidas’ que se tornam maliciosas após uma atualização. Seis dessas extensões já foram ativadas e estão entregando malware, enquanto as demais permanecem inativas ou suspeitas. Inicialmente, as extensões parecem benignas, mas revelam a verdadeira intenção do atacante em um estágio posterior. Os pesquisadores da empresa de segurança Socket destacam que essa estratégia é uma mudança em relação a ondas anteriores, onde o código malicioso estava embutido nas extensões. As extensões clonadas de listagens legítimas visam enganar desenvolvedores menos atentos. Elas atuam como carregadores que buscam o malware de diferentes maneiras, como através de pacotes VSIX do GitHub ou módulos compilados específicos da plataforma. Embora os detalhes técnicos do novo payload não tenham sido divulgados, ataques anteriores focaram em roubo de dados de carteiras de criptomoedas e credenciais de desenvolvedores. A Socket recomenda que desenvolvedores que instalaram essas extensões façam a rotação de segredos e limpem seus ambientes.

Um ataque recente comprometeu o pacote elementary-data, disponível no Python Package Index (PyPI), com a versão maliciosa 0.23.3, que visava roubar dados sensíveis de desenvolvedores e carteiras de criptomoedas. O ataque foi detectado por um membro da comunidade, que alertou os mantenedores do projeto, resultando na rápida substituição do pacote por uma versão limpa (0.23.4). No entanto, os usuários que baixaram a versão maliciosa continuam vulneráveis. O pacote, utilizado por engenheiros de dados no ecossistema dbt, teve mais de 1,1 milhão de downloads mensais. A análise da StepSecurity revelou que o atacante explorou uma falha no fluxo de trabalho do projeto, injetando código malicioso através de um script do GitHub Actions, o que permitiu a execução de um código controlado pelo atacante. Isso resultou na exposição do GITHUB_TOKEN, que foi utilizado para forjar um commit assinado e acionar a liberação do pacote comprometido. O pacote malicioso incluía um arquivo que coletava informações sensíveis, como chaves SSH, credenciais de Git e arquivos de carteiras de criptomoedas. Os usuários afetados devem rotacionar suas credenciais e restaurar seus ambientes a partir de um ponto seguro.

Pesquisadores de cibersegurança identificaram 73 extensões maliciosas no repositório Open VSX do Microsoft Visual Studio Code (VS Code), associadas a uma campanha persistente de roubo de informações chamada GlassWorm. Dentre essas extensões, seis foram confirmadas como maliciosas, enquanto as demais atuam como pacotes ‘sleeper’, que enganam os usuários a baixá-las e confiar nelas antes de revelarem sua verdadeira intenção por meio de atualizações subsequentes. Publicadas no início de abril de 2026, essas extensões clonadas imitam suas contrapartes legítimas, utilizando os mesmos ícones e descrições para confundir desenvolvedores desavisados. A campanha GlassWorm v2, monitorada pela empresa de segurança Socket, já identificou mais de 320 artefatos desde dezembro de 2025. O objetivo final dos atacantes é executar malware que evite sistemas russos, roubar dados sensíveis e instalar um trojan de acesso remoto (RAT). A abordagem atual dos atacantes envolve o uso de pacotes ‘sleeper’ e dependências transitivas para evitar detecções, além de um dropper baseado em Zig que implanta uma extensão secundária do VSIX hospedada no GitHub, afetando todos os ambientes de desenvolvimento integrados (IDEs) na máquina do desenvolvedor.

Recentemente, o cenário de cibersegurança tem sido marcado pelo retorno de técnicas antigas e a introdução de novas ameaças. Um malware chamado fast16, desenvolvido antes do famoso Stuxnet, foi identificado como uma ameaça que pode manipular softwares de cálculos de alta precisão, potencialmente causando falhas em sistemas críticos. Além disso, o grupo UNC6692 tem utilizado engenharia social para implantar um malware personalizado chamado Snow, visando roubar dados sensíveis. Outro incidente relevante envolve a descoberta do backdoor FIRESTARTER, que comprometeu um dispositivo da Cisco em uma agência federal dos EUA. No setor energético, o malware Lotus Wiper foi utilizado em ataques na Venezuela, destruindo sistemas essenciais. O grupo de ransomware The Gentlemen tem se destacado por suas operações, enquanto a Bitwarden CLI foi comprometida em um ataque de cadeia de suprimentos, afetando desenvolvedores. A lista de vulnerabilidades críticas, incluindo CVEs relevantes, continua a crescer, exigindo atenção imediata das organizações para mitigar riscos.

O grupo de ameaças conhecido como UNC6692 tem utilizado táticas de engenharia social para implantar uma nova suíte de malware chamada “Snow”, que inclui uma extensão de navegador, um tunneler e um backdoor. O objetivo principal é roubar dados sensíveis após comprometer profundamente a rede, utilizando técnicas de roubo de credenciais e tomada de domínio. Pesquisadores da Mandiant, da Google, relataram que os atacantes empregam táticas de “email bombing” para criar um senso de urgência, contatando as vítimas via Microsoft Teams, se passando por agentes de suporte de TI.

Pesquisadores de cibersegurança da SentinelOne descobriram um novo malware baseado em Lua, denominado fast16, que remonta a 2005, antes do famoso worm Stuxnet. Este malware foi projetado para sabotar programas de cálculo de alta precisão, introduzindo erros sistemáticos em cálculos físicos, o que poderia comprometer pesquisas científicas e sistemas de engenharia. O fast16 combina um módulo de carregamento adaptável com um driver de kernel que altera a execução de código, visando especificamente softwares utilizados em engenharia civil e simulações físicas. A análise revelou que o malware poderia se propagar em redes vulneráveis, explorando credenciais fracas. O fast16 é considerado o primeiro malware do Windows a incorporar um motor Lua, e sua descoberta sugere que operações de sabotagem cibernética já estavam em desenvolvimento antes de Stuxnet. Essa revelação força uma reavaliação da linha do tempo das operações de sabotagem cibernética apoiadas por estados, especialmente em relação ao programa nuclear do Irã, que já foi alvo de ataques cibernéticos anteriores. A presença de referências a ferramentas de ataque associadas à NSA também levanta questões sobre a origem e o propósito desse malware.

Agências de cibersegurança dos EUA e do Reino Unido emitiram um alerta sobre um malware personalizado chamado Firestarter, que persiste em dispositivos Cisco Firepower e Secure Firewall que utilizam o software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD). O malware, atribuído a um ator de ameaças conhecido como UAT-4356, é utilizado em campanhas de ciberespionagem e permite acesso remoto contínuo mesmo após a aplicação de patches. A vulnerabilidade inicial explorada foi identificada como CVE-2025-20333, relacionada a uma falha de autorização, e CVE-2025-20362, um bug de estouro de buffer.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que um dispositivo Cisco Firepower de uma agência federal foi comprometido em setembro de 2025 por um malware chamado FIRESTARTER. Este malware é considerado uma backdoor que permite acesso remoto e controle, sendo parte de uma campanha de um ator de ameaça persistente avançada (APT). O ataque explorou vulnerabilidades críticas, como CVE-2025-20333 e CVE-2025-20362, que já foram corrigidas, mas dispositivos comprometidos antes da aplicação dos patches permanecem vulneráveis. O FIRESTARTER pode persistir mesmo após atualizações de firmware, manipulando a sequência de inicialização do dispositivo. Além disso, um kit de ferramentas pós-exploração chamado LINE VIPER foi utilizado para executar comandos e capturar pacotes. A Cisco recomenda a reimagens dos dispositivos afetados para remover completamente o malware. O incidente destaca a crescente complexidade das redes de ataque, especialmente com a utilização de dispositivos IoT e roteadores comprometidos por grupos patrocinados pelo estado, como os hackers chineses. Isso levanta preocupações sobre a segurança de infraestruturas críticas e a necessidade de vigilância constante.

Pesquisadores de cibersegurança descobriram um conjunto de aplicativos maliciosos na Apple App Store que se passam por carteiras de criptomoedas populares, com o objetivo de roubar frases de recuperação e chaves privadas desde o outono de 2025. Esses aplicativos, conhecidos como FakeWallet, imitam carteiras como Bitpie, Coinbase e MetaMask, e redirecionam os usuários para páginas de navegador que se assemelham à App Store, distribuindo versões trojanizadas de carteiras legítimas. Embora muitos desses aplicativos tenham sido removidos pela Apple após a divulgação, a campanha representa uma evolução nas táticas de roubo de criptomoedas, pois os aplicativos estão disponíveis para download diretamente da App Store, especialmente para usuários com contas configuradas para a China. Os atacantes utilizam ícones semelhantes aos originais, mas com erros de digitação intencionais nos nomes para enganar os usuários. Além disso, a campanha pode estar ligada a um grupo de ameaças que já atuou anteriormente, utilizando técnicas sofisticadas de phishing para capturar frases mnemônicas e comprometer carteiras de criptomoedas. A situação é preocupante, pois o roubo de ativos digitais pode ter consequências financeiras significativas para os usuários.

Uma nova campanha de cibersegurança está direcionando usuários de língua chinesa, utilizando uma versão trojanizada do leitor SumatraPDF para implantar o agente AdaptixC2 Beacon. A Zscaler ThreatLabz, que identificou a campanha, atribui-a com alta confiança ao grupo de hackers Tropic Trooper, ativo desde 2011 e conhecido por atacar entidades em Taiwan, Hong Kong e Filipinas. O ataque começa com um arquivo ZIP contendo documentos com temas militares que, ao serem abertos, lançam o SumatraPDF modificado. Este executável exibe um PDF falso enquanto busca código shell criptografado de um servidor de preparação, ativando o AdaptixC2 Beacon. O loader, uma variante do malware Xiangoop, é responsável por iniciar um ataque em múltiplas etapas, utilizando o GitHub como plataforma de comando e controle. Quando a vítima é considerada valiosa, o ator da ameaça instala o Visual Studio Code e configura túneis para acesso remoto. O servidor de preparação também foi observado hospedando um Cobalt Strike Beacon e um backdoor chamado EntryShell, ambos utilizados anteriormente pelo Tropic Trooper. Essa campanha representa uma ameaça significativa, especialmente para indivíduos e organizações na região asiática.

Um novo grupo de ameaças cibernéticas, identificado como UNC6692, tem utilizado táticas de engenharia social através do Microsoft Teams para implantar uma suíte de malware em sistemas comprometidos. Segundo um relatório da Mandiant, o grupo se aproveita da confiança dos usuários ao se passar por funcionários de suporte técnico, convencendo as vítimas a aceitarem convites de chat de contas externas. A campanha inclui um bombardeio de e-mails de spam, criando uma falsa urgência que leva os alvos a buscar ajuda. O ataque é direcionado principalmente a executivos e funcionários de alto escalão, visando acesso inicial a redes corporativas para roubo de dados e movimentação lateral. O método envolve o uso de um link de phishing que leva ao download de um script malicioso, que instala uma extensão de navegador chamada SNOWBELT, permitindo ao atacante executar comandos remotamente. A Mandiant destaca que essa abordagem combina a exploração de serviços em nuvem legítimos para entrega de payloads e exfiltração de dados, o que dificulta a detecção por filtros de segurança tradicionais. A situação é preocupante, pois demonstra uma evolução nas táticas de ataque, com um foco crescente em alvos de alto valor dentro das organizações.

Recentemente, hackers comprometeram imagens Docker e extensões do Visual Studio Code (VSCode) e Open VSX do Checkmarx KICS, uma ferramenta de análise de segurança de código. O KICS, que é um scanner de código aberto, ajuda desenvolvedores a identificar vulnerabilidades em código-fonte e configurações. A investigação da empresa Socket revelou que a violação se estendeu para além da imagem Docker do KICS, incluindo extensões que baixavam um recurso oculto chamado ‘MCP addon’, projetado para instalar malware que rouba dados. Este malware visa informações sensíveis processadas pelo KICS, como tokens do GitHub, credenciais de nuvem e variáveis de ambiente, criptografando e exfiltrando esses dados para um domínio que se passa por infraestrutura legítima do Checkmarx. O ataque ocorreu em um intervalo específico, e os desenvolvedores que baixaram as versões comprometidas devem considerar suas credenciais comprometidas e tomar medidas imediatas para mitigar os riscos. A Checkmarx já removeu os artefatos maliciosos e está investigando o incidente com a ajuda de especialistas externos.

Uma nova campanha de malware baseada no Mirai está explorando a vulnerabilidade de injeção de comando CVE-2025-29635, que afeta roteadores D-Link DIR-823X. Essa falha permite que atacantes executem comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para um endpoint vulnerável, resultando em execução remota de comandos (RCE). A Akamai SIRT, que detectou a campanha em março de 2026, informa que, apesar de a vulnerabilidade ter sido divulgada há 13 meses, esta é a primeira vez que a exploração ativa foi observada. Os atacantes estão utilizando requisições POST para alterar diretórios, baixar um script shell e executá-lo, instalando um malware Mirai chamado ’tuxnokill’, que suporta múltiplas arquiteturas e possui capacidades de ataque DDoS. Além disso, a campanha também explora outras vulnerabilidades em roteadores TP-Link e ZTE. Os dispositivos afetados atingiram o fim de vida útil em novembro de 2024, o que significa que é improvável que a D-Link forneça um patch para corrigir a falha. Usuários de roteadores obsoletos são aconselhados a atualizar para modelos mais novos e seguros.

Pesquisadores de cibersegurança identificaram um novo conjunto de pacotes npm que foram comprometidos para disseminar um worm auto-replicante, utilizando tokens de desenvolvedor roubados. Denominado CanisterSprawl, o malware foi detectado pelas empresas Socket e StepSecurity, que observaram que ele exfiltra dados através de um canister ICP. Os pacotes afetados incluem versões de @automagik/genie, @fairwords/loopback-connector-es, entre outros. O malware é ativado durante a instalação, utilizando um hook postinstall para roubar credenciais e segredos de ambientes de desenvolvimento, que são então usados para enviar versões contaminadas dos pacotes para o registro. Informações capturadas incluem chaves SSH, credenciais de nuvem e arquivos de configuração do Docker, além de tentativas de acessar dados de navegadores e carteiras de criptomoedas. Além disso, a campanha também inclui lógica de propagação para pacotes Python, ampliando ainda mais seu alcance. Este incidente destaca a crescente ameaça aos ecossistemas de código aberto, com ataques direcionados a plataformas como npm e PyPI, e requer atenção imediata dos profissionais de segurança.

Pesquisadores de cibersegurança alertaram sobre a presença de imagens maliciosas no repositório oficial “checkmarx/kics” do Docker Hub. A empresa de segurança da cadeia de suprimentos Socket revelou que atacantes desconhecidos conseguiram sobrescrever tags existentes, como v2.1.20 e alpine, e introduzir uma nova tag v2.1.21 que não corresponde a uma versão oficial. A análise das imagens comprometidas indica que o binário KICS foi modificado para incluir capacidades de coleta e exfiltração de dados, o que representa um risco significativo para equipes que utilizam KICS para escanear arquivos de infraestrutura como código que podem conter credenciais ou dados de configuração sensíveis. Além disso, ferramentas de desenvolvimento da Checkmarx, como extensões recentes do Microsoft Visual Studio Code, também podem ter sido afetadas, permitindo que código malicioso fosse baixado e executado sem confirmação do usuário. Organizações que utilizaram a imagem KICS comprometida devem considerar qualquer segredo ou credencial exposta como potencialmente comprometida. A Socket sugere que este incidente não é isolado, mas parte de uma violação mais ampla da cadeia de suprimentos que afeta vários canais de distribuição da Checkmarx.

Um novo ataque à cadeia de suprimentos está afetando o ecossistema do Node Package Manager (npm), visando roubar credenciais de desenvolvedores e se espalhar por meio de pacotes publicados a partir de contas comprometidas. Pesquisadores das empresas de segurança Socket e StepSecurity identificaram múltiplos pacotes da Namastex Labs, que fornece soluções baseadas em IA, já comprometidos. As técnicas utilizadas para roubo de credenciais e exfiltração de dados são semelhantes às do ataque CanisterWorm, mas não há evidências suficientes para atribuição confiável. Entre os 16 pacotes comprometidos estão @automagik/genie e pgserve, que são utilizados em ferramentas de IA e operações de banco de dados, indicando que o ataque foca em alvos de alto valor. O código malicioso coleta dados sensíveis, como tokens, chaves de API e credenciais de serviços em nuvem. O malware é descrito como um ‘verme de cadeia de suprimentos’, que pode se propagar rapidamente se as condições forem favoráveis. Os desenvolvedores são aconselhados a tratar todas as versões listadas como maliciosas e a remover imediatamente os pacotes afetados de seus sistemas. Além disso, é recomendado rotacionar todas as credenciais potencialmente expostas.

Pesquisadores de cibersegurança identificaram um novo malware, denominado Lotus Wiper, que tem sido utilizado em ataques direcionados ao setor de energia e utilidades na Venezuela. O ataque, que ocorreu no final de 2025 e início de 2026, utiliza scripts em lote para iniciar uma fase destrutiva, desativando defesas do sistema e preparando o ambiente para a execução do wiper. Uma vez implantado, o Lotus Wiper apaga mecanismos de recuperação, sobrescreve conteúdos de drives físicos e exclui arquivos sistematicamente, deixando os sistemas inoperantes. Não há indícios de que os atacantes busquem ganhos financeiros, o que sugere uma motivação política ou estratégica. O malware foi carregado em uma plataforma pública semanas antes de ações militares dos EUA na Venezuela, levantando questões sobre possíveis conexões. A Kaspersky recomenda que organizações monitorem mudanças em compartilhamentos NETLOGON e atividades de escalonamento de privilégios, além do uso de utilitários nativos do Windows que podem ser utilizados para ações destrutivas. O ataque é particularmente preocupante devido à sua natureza direcionada e ao fato de que os atacantes parecem ter conhecimento prévio do ambiente operacional.

O grupo de ciberespionagem conhecido como Harvester lançou uma nova versão do backdoor GoGra, agora direcionada a sistemas Linux, em ataques que visam entidades na Ásia do Sul, especialmente na Índia e no Afeganistão. O malware utiliza a API do Microsoft Graph e caixas de entrada do Outlook como um canal de comando e controle (C2) encoberto, permitindo que ele contorne as defesas tradicionais de rede. A Symantec e a Carbon Black identificaram que o malware é capaz de enganar as vítimas por meio de engenharia social, disfarçando arquivos ELF como documentos PDF. Uma vez instalado, o GoGra se conecta a uma pasta específica no Outlook a cada dois segundos, procurando por mensagens que contenham comandos a serem executados. Após a execução, os resultados são enviados de volta ao operador, enquanto o malware apaga as mensagens originais para evitar detecções. A continuidade do desenvolvimento de ferramentas pelo Harvester indica uma expansão de suas capacidades de ataque, o que representa um risco crescente para organizações que utilizam tecnologias da Microsoft na região.

Uma nova variante do backdoor GoGra, desenvolvida pelo grupo de espionagem Harvester, utiliza a infraestrutura legítima da Microsoft para realizar entregas furtivas de payloads. O malware, que opera em sistemas Linux, se aproveita da API Microsoft Graph para acessar dados de caixas de entrada do Outlook. A análise da Symantec revelou que o acesso inicial é obtido ao enganar as vítimas para que executem arquivos ELF disfarçados de PDFs. Após a autenticação com credenciais do Azure Active Directory, o malware verifica a pasta de e-mails “Zomato Pizza” a cada dois segundos, utilizando consultas OData para identificar mensagens com o assunto “Input”. O conteúdo dessas mensagens é então decifrado e executado localmente, com os resultados sendo enviados de volta ao operador via e-mails com o assunto “Output”. Para aumentar a furtividade, o malware apaga o e-mail original após o processamento. A similaridade do código entre as versões para Linux e Windows sugere que ambas foram criadas pelo mesmo desenvolvedor, reforçando a ideia de que o Harvester está ampliando seu conjunto de ferramentas e escopo de ataque.

Pesquisadores de cibersegurança identificaram uma nova variante do malware LOTUSLITE, que está sendo distribuído por meio de temas relacionados ao setor bancário da Índia. O malware, que se comunica com um servidor de comando e controle baseado em DNS dinâmico, permite acesso remoto, operações de arquivos e gerenciamento de sessões, indicando que seu uso está mais voltado para espionagem do que para objetivos financeiros. Anteriormente, o LOTUSLITE foi utilizado em ataques de spear-phishing direcionados a entidades governamentais dos EUA, com ligações a um grupo de estado-nação chinês conhecido como Mustang Panda. A nova campanha foca principalmente no setor bancário indiano, utilizando arquivos CHM que incorporam cargas maliciosas. O ataque começa com um arquivo CHM que contém um executável legítimo e uma DLL maliciosa, que, ao ser executada, se conecta a um domínio para receber comandos e exfiltrar dados. Além disso, foram encontrados artefatos semelhantes direcionados a entidades sul-coreanas, sugerindo uma ampliação do escopo de ataque do grupo. Essa evolução no uso do malware e a diversificação dos alvos ressaltam a necessidade de vigilância constante e medidas de segurança robustas, especialmente em setores críticos como o bancário.

Um novo malware de destruição de dados, chamado Lotus, foi utilizado em ataques direcionados a organizações de energia e serviços públicos na Venezuela no ano passado. O malware, que foi analisado pela Kaspersky, foi carregado em uma plataforma pública em dezembro e é projetado para eliminar completamente sistemas comprometidos, sobrescrevendo drives físicos e eliminando opções de recuperação. Os ataques começam com scripts em lote que desativam serviços do Windows e preparam o sistema para a fase final de destruição. O Lotus opera em um nível mais baixo, interagindo diretamente com os discos, apagando pontos de restauração e sobrescrevendo setores físicos. A atividade observada coincide com tensões geopolíticas na região, especialmente após a captura do ex-presidente Nicolás Maduro. Embora a empresa estatal Petróleos de Venezuela (PDVSA) tenha sofrido um ataque cibernético que desativou seus sistemas de entrega, não há evidências públicas de que seus sistemas tenham sido apagados. A Kaspersky recomenda que administradores de sistemas monitorem mudanças em compartilhamentos NETLOGON e o uso inesperado de comandos como ‘diskpart’ e ‘robocopy’. Manter backups offline regulares é uma medida preventiva contra esse tipo de malware.

Pesquisadores de cibersegurança descobriram uma nova versão do malware NGate, que agora abusa de um aplicativo legítimo chamado HandyPay. O malware, que permite a transferência de dados NFC de cartões de pagamento para dispositivos dos atacantes, foi identificado como uma ameaça crescente, especialmente no Brasil. O ataque ocorre quando os usuários são enganados a baixar uma versão comprometida do HandyPay, disfarçada como um aplicativo de proteção de cartão ou um site de loteria. Após a instalação, o aplicativo solicita que o usuário defina o HandyPay como o aplicativo de pagamento padrão e insira o PIN do cartão, permitindo que o malware capture e retransmita os dados do cartão para os criminosos. Essa campanha, que começou em novembro de 2025, destaca a crescente utilização de inteligência artificial por cibercriminosos para desenvolver malware, mesmo sem experiência técnica avançada. A ESET, empresa de segurança que identificou a ameaça, alerta que a fraude NFC está em ascensão, e a escolha do HandyPay pelos atacantes pode estar relacionada ao seu custo mais baixo e à ausência de permissões suspeitas.

Uma nova variante do malware NGate, que rouba dados de pagamentos NFC, está atacando usuários de Android ao se esconder em uma versão trojanizada do aplicativo HandyPay, uma ferramenta legítima de processamento de pagamentos móveis. Originalmente documentado em meados de 2024, o NGate utiliza o chip de comunicação de campo próximo (NFC) dos dispositivos móveis para capturar informações de cartões de pagamento, que são enviadas ao atacante para criar cartões virtuais usados em compras não autorizadas ou saques em caixas eletrônicos. A nova variante, descoberta pela ESET, foi injetada com código malicioso e contém emojis, sugerindo o uso de ferramentas de IA generativa em seu desenvolvimento. O HandyPay, disponível no Google Play desde 2021, permite transmissões de dados baseadas em NFC, que o NGate explora para exfiltrar informações de cartões. A campanha, ativa desde novembro de 2025, utiliza dois métodos de distribuição: um aplicativo falso chamado “Proteção Cartão” e um site de loteria falso que redireciona os usuários para o WhatsApp, onde são levados a baixar o APK malicioso. Após a instalação, o aplicativo solicita que o usuário o defina como o aplicativo de pagamento NFC padrão e pede o PIN do cartão, além de instruções para ler o cartão no telefone. As informações coletadas são enviadas para um e-mail do atacante codificado no aplicativo.

Um conjunto de 26 aplicativos maliciosos foi identificado na Apple App Store, disfarçando-se como carteiras populares como Metamask, Coinbase, Trust Wallet e OneKey. Esses aplicativos têm como objetivo roubar frases de recuperação ou seed phrases, drenando os ativos em criptomoedas dos usuários. Os atacantes utilizaram métodos como typosquatting e branding falso para enganar usuários na China, publicando os aplicativos como jogos ou calculadoras, na tentativa de contornar as restrições do país. Os pesquisadores da Kaspersky nomearam essa campanha de FakeWallet, associando-a à operação SparkKitty. Ao serem abertos, os aplicativos redirecionam os usuários para páginas de phishing que imitam portais legítimos de serviços de criptomoedas. Essas páginas convencem as vítimas a baixar aplicativos de carteira trojanizados, que interceptam as frases mnemônicas durante a configuração ou recuperação da carteira, criptografando-as e enviando-as para os atacantes. Embora a campanha tenha como alvo principal usuários na China, o malware não possui restrições geográficas, podendo afetar usuários globalmente. A Kaspersky recomenda que os detentores de criptomoedas verifiquem sempre o editor dos aplicativos que baixam, mesmo em lojas oficiais. Após a divulgação responsável da Kaspersky, a Apple removeu todos os 26 aplicativos da App Store.

Pesquisadores de cibersegurança identificaram um novo malware chamado ZionSiphon, projetado para atacar sistemas de tratamento e dessalinização de água em Israel. O malware, que foi detectado pela primeira vez em 29 de junho de 2025, logo após a Guerra de Doze Dias entre Irã e Israel, é capaz de estabelecer persistência, modificar arquivos de configuração locais e escanear serviços relevantes de tecnologia operacional (OT) na rede local. O ZionSiphon se destaca por sua capacidade de escalonamento de privilégios e propagação via dispositivos USB, além de suas funções de sabotagem voltadas para o controle de cloro e pressão. O código do malware ainda está em desenvolvimento, apresentando funcionalidades incompletas e um comportamento que sugere que ele pode não estar totalmente operacional. Além disso, o malware contém mensagens políticas que expressam apoio ao Irã, Palestina e Iémen, e é programado para ativar apenas em condições geográficas e ambientais específicas. A descoberta do ZionSiphon coincide com a identificação de outras ameaças, como o implante RoadK1ll, que permite acesso remoto a redes comprometidas. Este cenário destaca a crescente experimentação com ataques a infraestruturas críticas motivados politicamente em todo o mundo.