Malware

Operação de malware disfarçada de projetos open-source é descoberta

Pesquisadores de cibersegurança identificaram uma operação em larga escala que se disfarça de projetos de código aberto e freeware para redirecionar usuários desavisados a um Sistema de Distribuição de Tráfego (TDS) e entregar famílias de malware, como Remus Stealer, AnimateClipper e o framework SessionGate. Os sites envolvidos são bem projetados e imitam portais legítimos, utilizando uma camada de JavaScript hospedada no CloudFront que transforma cliques em downloads em redirecionamentos para o TDS. Essa operação visa aquisição e monetização de tráfego, levando usuários a uma infraestrutura de entrega de malware. Os ataques visam especificamente usuários que buscam ferramentas de segurança em motores de busca, como o Google, fazendo com que esses sites falsos apareçam no topo dos resultados. A análise de telemetria do VirusTotal revelou entre 2.000 a 3.500 submissões de amostras associadas à família SessionGate, com a maioria das submissões originárias de países como Turquia, Polônia, Brasil e Alemanha. O objetivo final da infecção é entregar um payload único por cliente, dificultando a análise e a recuperação do payload. Essa situação representa um risco significativo para usuários que buscam ferramentas de segurança, especialmente no Brasil, onde a popularidade de tais ferramentas pode ser explorada por cibercriminosos.

Campanha de malvertising atinge macOS com novo backdoor FlutterShell

Pesquisadores de cibersegurança revelaram uma nova campanha de malvertising para macOS, chamada Operação FlutterBridge, que dissemina um backdoor conhecido como FlutterShell. De acordo com a Palo Alto Networks, essa campanha é uma evolução de atividades anteriores do grupo criminoso CL-CRI-1089, ativo desde 2023. O FlutterShell, desenvolvido com o framework Flutter, infecta dispositivos com adware por meio de aplicativos de desktop maliciosos, permitindo execução de comandos e manipulação do sistema de arquivos. Os ataques utilizam anúncios fraudulentos no Google e YouTube, atraindo usuários de macOS nos EUA, Canadá, Austrália, França e Alemanha. Os anúncios são veiculados por empresas de fachada, ligadas a indivíduos ucranianos. O FlutterShell se destaca por sua arquitetura baseada em WebView, que permite alterações dinâmicas no comportamento do malware sem necessidade de recompilação. Variantes do FlutterShell, como PodcastsLounge e PDF-Brain, foram identificadas, e a campanha continua em desenvolvimento ativo, representando uma ameaça significativa para usuários de macOS.

Grupo de cibercrime TA4922 vinculado à China ataca organizações europeias

O grupo de cibercrime TA4922, associado à China, tem ampliado seu foco de ataque para organizações na Europa, especialmente no Reino Unido, Alemanha, Itália e África do Sul. De acordo com a empresa de segurança Proofpoint, o grupo é caracterizado por um ‘ritmo operacional rápido’ e um arsenal de malware em constante evolução, incluindo ferramentas conhecidas como ValleyRAT e Atlas RAT, além de novos malwares como RomulusLoader e SilentRunLoader. A motivação financeira do grupo é evidente, com o objetivo de obter acesso remoto a ambientes de vítimas para roubo de dados, fraudes e revenda de acessos. Recentemente, as campanhas de phishing têm utilizado iscas relacionadas a recursos humanos e negócios, além de tentativas de mover conversas para canais de comunicação fora do e-mail, como LINE e WhatsApp, para contornar controles de segurança. As campanhas observadas incluem ataques direcionados a organizações no Japão e no Reino Unido, utilizando técnicas como DLL side-loading para entregar malwares. A natureza global das operações do TA4922 destaca a necessidade de as organizações estarem atentas a ameaças emergentes, independentemente da localização geográfica.

Grupo de cibercrime chinês expande ataques para a Europa

Um grupo de cibercrime de língua chinesa, identificado como TA4922, está ampliando suas operações para a Europa, utilizando malware não documentado e a backdoor Atlas. Este grupo, que anteriormente focava em organizações na Ásia Oriental, agora está atacando entidades na Alemanha, Itália, Reino Unido e África do Sul. Os pesquisadores da Proofpoint destacam que TA4922 é motivado financeiramente e realiza campanhas de phishing localizadas, disfarçadas como comunicados de folha de pagamento, auditorias fiscais e notificações de conformidade governamental. O malware Atlas RAT, uma das principais ferramentas do grupo, permite reconhecimento do sistema, roubo de arquivos, captura de tela e gravação de áudio e vídeo. Além disso, o grupo utiliza loaders personalizados, como o RomulusLoader, que executa ferramentas de gerenciamento remoto. A atividade do TA4922 aumentou significativamente desde março, com uma diversidade operacional sem precedentes. A Proofpoint alerta que, embora o foco principal seja financeiro, as capacidades do malware podem ser utilizadas para vigilância, o que representa um risco adicional. O relatório inclui indicadores de comprometimento e infraestrutura de comando e controle utilizados nas operações do grupo.

Campanha de malspam usa domínio do Google para distribuir RAT

Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que utiliza o domínio DoubleClick do Google para evitar detecções e entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT. Segundo os especialistas da Huntress, a estratégia envolve redirecionar usuários através de uma URL legítima do Google, tornando a abordagem mais difícil de ser detectada por ferramentas de segurança.

O ataque começa quando a vítima abre um arquivo HTML anexado a um e-mail de phishing, que redireciona para uma página maliciosa. A partir daí, um botão de ‘Download PDF’ inicia o download de um arquivo ZIP que contém um loader em JavaScript. Este loader é responsável por executar o RAT, neutralizando controles de segurança e estabelecendo persistência no sistema.

Campanha de malware WeedHack ataca jogadores de Minecraft

Uma nova campanha de malware chamada WeedHack está afetando jogadores de Minecraft, com mais de 116 mil sistemas infectados desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente em vídeos do YouTube e por meio de técnicas de SEO. A operação, que funciona como um serviço de malware (MaaS), permite que os clientes acessem um painel onde podem visualizar credenciais roubadas e informações sobre sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido. A WeedHack utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa sensação de legitimidade ao vincular sites maliciosos a repositórios oficiais do GitHub. O malware é acessível gratuitamente, com uma opção premium que oferece funcionalidades adicionais, como controle remoto e captura de tela. Especialistas recomendam que os jogadores confiem apenas em mods de fontes oficiais e verifiquem os links de download para evitar infecções.

Campanha de Malware Alvo de Jogadores de Minecraft pelo YouTube

Pesquisadores de cibersegurança identificaram uma nova campanha de malware, chamada Weedhack, que visa jogadores de Minecraft através do YouTube. Desde janeiro de 2026, essa campanha tem utilizado técnicas de SEO poisoning para direcionar usuários a URLs maliciosas que distribuem arquivos JAR infectados. Até o momento, foram encontrados 3.820 arquivos JAR maliciosos e mais de 240 URLs associadas. O malware se disfarça como clientes e mods do Minecraft, permitindo que os atacantes controlem remotamente os sistemas das vítimas. A campanha é facilitada por um painel de controle que permite aos criminosos visualizar credenciais roubadas e informações do sistema. Os atacantes também utilizam um canal no Telegram para promover suas ferramentas e oferecer suporte. O malware pode roubar informações sensíveis, como IDs de sessão do Minecraft e credenciais de diversas plataformas. Além disso, a campanha tem gerado casos de cyberbullying, onde os atacantes ameaçam e monitoram suas vítimas. A maioria das infecções foi registrada nos EUA, seguida por países como Alemanha, Índia e Reino Unido.

Campanha de malware WeedHack atinge jogadores de Minecraft

Uma campanha de malware em larga escala, conhecida como WeedHack, está atacando jogadores de Minecraft e já infectou mais de 116 mil sistemas desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente no YouTube e por meio de técnicas de SEO. A operação funciona como um serviço de malware (MaaS), permitindo que os usuários acessem um painel onde podem visualizar credenciais roubadas e informações de sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido, com uma média de 2.000 a 3.000 novas infecções diariamente. A campanha utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa legitimidade ao vincular sites maliciosos a repositórios legítimos do GitHub. O WeedHack oferece uma camada gratuita que rouba IDs de sessão do Minecraft, cookies e senhas, além de uma versão premium com funcionalidades adicionais. Jogadores são aconselhados a confiar apenas em mods de fontes oficiais e a verificar links de download para evitar infecções.

Grupo de hackers russo Gamaredon explora vulnerabilidade do WinRAR

O grupo de hackers russo Gamaredon está explorando uma vulnerabilidade no WinRAR, identificada como CVE-2025-8088, para disseminar diversas famílias de malware voltadas para o roubo de dados. A empresa de cibersegurança Sekoia observou que, desde janeiro de 2026, o grupo utiliza um payload de Aplicação HTML chamado GammaPhish, que serve para baixar um script em Visual Basic (VBScript) conhecido como GammaLoad. Este último, por sua vez, é responsável por implantar um worm chamado GammaWorm, que se infiltra em sistemas, oculta diretórios legítimos e substitui-os por arquivos de atalho maliciosos, permitindo a execução de código arbitrário. O GammaWorm se comunica com um canal público do Telegram para evitar detecções e garantir operações de espionagem a longo prazo. Além disso, uma família de malware chamada GammaSteel é utilizada para roubar informações e enviar dados para servidores controlados pelos atacantes. O Gamaredon, vinculado ao Serviço Federal de Segurança da Rússia (FSB), tem um histórico de ataques direcionados à Ucrânia, utilizando e-mails de spear-phishing com anexos maliciosos. A arquitetura modular e adaptável do malware sugere que ele pode ser reutilizado em futuras campanhas.

Pacotes npm da Red Hat comprometidos em ataque à cadeia de suprimentos

Mais de 30 pacotes npm sob o namespace ‘@redhat-cloud-services’ da Red Hat foram comprometidos em um ataque à cadeia de suprimentos, que distribuiu uma nova variante do malware Shai-Hulud, chamada ‘Miasma’. A descoberta foi feita pelas empresas de segurança Aikido e OX Security, que identificaram versões de pacotes com backdoors projetados para roubar credenciais de desenvolvedores, segredos de nuvem, chaves SSH, tokens de CI/CD e outras informações sensíveis. Os pacotes comprometidos recebiam cerca de 117.000 downloads semanais. A Red Hat afirmou que removeu os pacotes afetados assim que tomou conhecimento do incidente e que a violação estava restrita a ferramentas de desenvolvimento internas. A investigação ainda está em andamento, mas até o momento não foram identificados impactos em ambientes de clientes ou sistemas de produção da Red Hat. O ataque foi realizado através da conta do GitHub de um funcionário da Red Hat, onde os invasores inseriram commits maliciosos que abusaram do mecanismo de publicação do npm. Os pacotes comprometidos continham um script ‘preinstall’ que executava um arquivo malicioso para roubar credenciais de serviços como AWS, Google Cloud e Azure. A situação é preocupante, pois 32 pacotes e 96 versões foram afetados, e organizações que instalaram versões comprometidas devem rotacionar imediatamente todas as credenciais e segredos utilizados.

Grupo DriveSurge realiza campanhas de malware em larga escala

O grupo de cibercriminosos conhecido como DriveSurge tem promovido campanhas de distribuição de malware em larga escala, utilizando técnicas como ClickFix e FakeUpdates em sites comprometidos. Pesquisadores da empresa de cibersegurança SilentPush relataram que milhares de sites foram afetados, redirecionando visitantes para infraestruturas de entrega de malware. A técnica ClickFix engana as vítimas, levando-as a executar comandos maliciosos sob a falsa promessa de resolver problemas técnicos. Já os ataques FakeUpdates simulam atualizações de software, como navegadores, para induzir os usuários a baixar e instalar cargas maliciosas. O DriveSurge atua como um corretor de acesso inicial (IAB) em um modelo de pagamento por instalação (PPI), facilitando ataques subsequentes. Os visitantes dos sites comprometidos são redirecionados por um sistema de distribuição de tráfego (TDS) chamado zTDS, que classifica os usuários e decide qual isca utilizar. O relatório destaca um caso em que uma atualização falsa do Firefox resultou no download de um arquivo ZIP contendo executáveis maliciosos. Os pesquisadores identificaram várias assinaturas técnicas associadas à campanha, incluindo injeções de JavaScript e domínios maliciosos. Recomenda-se que os usuários atualizem seus navegadores apenas por meio dos menus de configuração e evitem executar comandos desconhecidos.

Ferramenta Codex da OpenAI com 29 mil downloads ligada a ataque malicioso

Pesquisadores descobriram um pacote npm malicioso que se disfarçava como uma ferramenta de interface do usuário do Codex, da OpenAI. O pacote, denominado ‘codexui-android’, foi baixado mais de 29.000 vezes antes de ser identificado como uma ameaça. Embora o código no GitHub parecesse legítimo, uma atualização no npm introduziu um código que roubava tokens de autenticação do Codex. Esses tokens, especialmente o refresh token, permitem que atacantes acessem contas da OpenAI sem a necessidade de senhas, possibilitando o uso indevido de créditos de API e acesso a projetos e códigos dos desenvolvedores. Além disso, dois aplicativos Android também foram identificados como parte do ataque, com um deles acumulando mais de 50.000 downloads. A gravidade da situação é acentuada pelo fato de que o refresh token não expira, permitindo acesso contínuo e silencioso às contas comprometidas.

Cerca de 2.000 sites WordPress infectados com malware via Steam

Cerca de 1.980 sites WordPress foram comprometidos por um malware que utiliza comentários de perfis da Steam Community para ocultar dados de comando e controle (C2). Os atacantes empregaram caracteres Unicode invisíveis para codificar um payload que gera uma URL para um script malicioso. Essa técnica permite que os hackers evitem a manutenção de uma infraestrutura C2 separada e contornem métodos tradicionais de detecção. A infecção inicial pode ter ocorrido por meio de logins de administrador roubados, credenciais FTP/SFTP comprometidas ou exploração de temas e plugins vulneráveis. O malware, uma vez instalado, utiliza carregamentos de páginas do WordPress para acessar perfis da Steam e extrair texto que, embora pareça benigno, contém caracteres invisíveis que disfarçam cargas maliciosas. O payload decodificado leva a um URL que injeta código JavaScript em todas as páginas do WordPress. Os pesquisadores da GoDaddy alertam que a defesa deve incluir a verificação de URLs da Steam, injeções de JavaScript suspeitas e conexões inesperadas. A restauração a partir de um backup conhecido é a ação recomendada para mitigar os danos.

Autoridades holandesas desmantelam botnet com milhões de dispositivos

As autoridades da Holanda anunciaram a desativação de uma botnet que controlava milhões de dispositivos infectados, incluindo computadores, tablets, smartphones e dispositivos IoT. A operação, realizada pela Polícia Holandesa e pelo Centro Nacional de Segurança Cibernética (NCSC), revelou que a rede bot consistia em pelo menos 17 milhões de dispositivos comprometidos, com mais de 200 servidores na Holanda servindo como infraestrutura de backend. Embora o nome da botnet não tenha sido explicitamente divulgado, fontes locais indicam que a Asocks, uma empresa que oferece proxies residenciais, estava envolvida. Em abril de 2024, a equipe de inteligência de ameaças da HUMAN identificou uma campanha chamada PROXYLIB, que utilizava dispositivos Android infectados com software de proxy da LumiApps e Asocks. A NCSC alertou que dispositivos podem ser incorporados a uma botnet quando acessíveis a atacantes, que podem instalar malware para controle remoto. Para mitigar esses riscos, recomenda-se manter sistemas operacionais atualizados, usar senhas fortes e habilitar autenticação de dois fatores. Essa situação destaca a necessidade de vigilância constante e práticas de segurança robustas para proteger dispositivos conectados à internet.

Autoridades holandesas desmantelam botnet de 17 milhões de dispositivos

As autoridades holandesas desmantelaram uma botnet composta por 17 milhões de dispositivos, apreendendo mais de 200 servidores de um provedor local que apoiava suas operações. A ação foi resultado de uma investigação conjunta da polícia e do Centro Nacional de Segurança Cibernética (NCSC) do país. Os servidores apreendidos eram responsáveis por controlar computadores, tablets e smartphones para realizar ciberataques, como ataques de negação de serviço distribuídos (DDoS) e mineração de criptomoedas. Embora a botnet não tenha sido nomeada oficialmente, a mídia local sugere que ela estava associada ao serviço Asocks, que oferece proxies para atividades online. A NCSC destacou que os proprietários dos dispositivos infectados não estavam cientes de que estavam contribuindo para atividades criminosas. Para prevenir infecções por botnets, as autoridades recomendam a alteração de credenciais padrão, a atualização do firmware e a desativação de painéis de administração remota quando não forem necessários.

Atores de ameaça abusam do ChatGPT para espalhar malware

Recentemente, um novo ataque cibernético foi identificado, onde atores maliciosos estão explorando a funcionalidade de compartilhamento de conteúdo do ChatGPT para criar páginas falsas de indisponibilidade da OpenAI. Essa campanha, chamada ‘LLMShare’, foi descoberta pela Push Security e utiliza anúncios do Google para direcionar usuários que buscam pelo ChatGPT a uma página maliciosa hospedada no domínio legítimo chatgpt.com. Ao clicar no anúncio, os usuários são levados a uma página que simula uma mensagem de erro, informando que a versão web está indisponível e sugerindo o download de um aplicativo de desktop falso. Essa mensagem, que afirma que o site está temporariamente fora do ar devido ao alto tráfego, é gerada através das capacidades de renderização do ChatGPT, utilizando HTML e CSS personalizados. Se o usuário clicar no botão de download, ele é redirecionado para um site que imita o portal de download do aplicativo da OpenAI, mas que na verdade instala malware em dispositivos. As versões para macOS e Windows do suposto aplicativo contêm infostealers, que podem roubar informações sensíveis. Essa técnica de cloaking permite que o site mostre conteúdo inofensivo para plataformas de segurança, dificultando a detecção do ataque. A exploração de funcionalidades de compartilhamento em plataformas de IA para disseminar malware não é nova, e campanhas anteriores já utilizaram métodos semelhantes para enganar usuários.

Grupo Kimsuky realiza ataques cibernéticos na Coreia do Sul

O grupo de ameaças patrocinado pelo Estado norte-coreano, conhecido como Kimsuky, foi responsável por uma nova onda de ataques cibernéticos direcionados a entidades militares e corporativas da Coreia do Sul entre março e abril de 2026. Utilizando táticas de engenharia social, como páginas falsas de instalação de software de segurança e reuniões do Webex, o grupo conseguiu disseminar uma variante de malware chamada HTTPSpy. Este malware, disfarçado como instaladores de software de segurança sul-coreano, permite acesso remoto completo aos sistemas comprometidos. Os ataques foram projetados para atingir administradores de mensagens em ambientes corporativos, utilizando páginas fraudulentas que simulavam serviços legítimos. Além disso, o Kimsuky evoluiu suas técnicas, incorporando ferramentas como o Microsoft Visual Studio Code para estabelecer acesso remoto, o que representa uma mudança significativa nas suas táticas. A análise destaca a necessidade de atenção redobrada por parte das organizações, especialmente em setores críticos, devido ao potencial impacto em conformidade com a LGPD e à segurança de dados sensíveis.

Trojan de acesso remoto BTMOB ameaça usuários Android no Brasil

O BTMOB é um trojan de acesso remoto para Android que está sendo oferecido a cibercriminosos com uma interface de construção para gerar cargas de malware personalizadas, especialmente voltadas para iscas de phishing. Este malware possui uma ampla gama de funcionalidades, incluindo roubo de dados específicos, interceptação de transações financeiras, captura de telas e controle remoto do dispositivo. Segundo a empresa de cibersegurança ESET, o BTMOB é promovido abertamente na internet e opera como uma plataforma de malware como serviço (MaaS). Os criminosos podem personalizar as permissões solicitadas pelo aplicativo durante a instalação e definir ações como desativar o Google Play e ocultar o ícone do aplicativo. O BTMOB é mais ativo no Brasil e na América Latina, e suas vendas ocorrem em canais privados do Telegram, com assinaturas mensais de US$ 700 ou uma licença vitalícia por US$ 5.000. O malware é distribuído por meio de sites de phishing que se disfarçam de serviços de streaming e plataformas de mineração de criptomoedas, redirecionando as vítimas para portais que imitam o Google Play. A ESET recomenda que os usuários do Android instalem apenas aplicativos da loja oficial e revoguem permissões arriscadas.

Grupo de ameaças GreyVibe utiliza IA para ciberespionagem

O grupo de ameaças cibernéticas, identificado como GreyVibe, vinculado à Rússia, tem utilizado iscas geradas por inteligência artificial e um conjunto diversificado de ferramentas de malware para atacar entidades nos setores militar, governamental, civil e empresarial. A campanha de ciberespionagem, que está ativa desde pelo menos agosto de 2025, foca em organizações ucranianas ou relacionadas à Ucrânia. A pesquisa da empresa de cibersegurança WithSecure revelou que GreyVibe emprega várias cadeias de ataque, incluindo e-mails de spear-phishing com arquivos maliciosos, páginas falsas que imitam serviços populares e sites de namoro falsos que distribuem spyware. A utilização de ferramentas de IA, como ChatGPT, para criar conteúdo realista e detalhado para as iscas é um aspecto notável da operação. Embora a atividade do GreyVibe seja consistente com operações de estado-nação, a falta de sofisticação e disciplina operacional sugere que o grupo pode incluir atores cibercriminosos. As organizações podem se proteger utilizando os indicadores de compromisso (IoCs) fornecidos pela WithSecure.

Vulnerabilidade no FortiClient permite roubo de credenciais

Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação (CVE-2026-35616) no FortiClient Enterprise Management Server (EMS) para implantar um malware chamado EKZ, que rouba credenciais. O ataque se disfarça como uma atualização legítima para endpoints da Fortinet e é executado através de fluxos de trabalho de script VPN gerenciados pelo FortiClient. Essa falha de controle de acesso inadequado permite que atacantes remotos não autenticados executem comandos arbitrários. A Fortinet confirmou a exploração da vulnerabilidade em abril e lançou correções de emergência para as versões 7.4.5 e 7.4.6 do produto. A CISA emitiu uma ordem para que agências federais protegessem suas instâncias rapidamente, enquanto a Arctic Wolf observou ataques que utilizam essa vulnerabilidade para entregar o infostealer EKZ. O malware é capaz de extrair dados sensíveis, como credenciais e informações de cartões de crédito, e opera de forma furtiva, utilizando scripts maliciosos que são executados após a conexão de um túnel IPsec. Os pesquisadores recomendam que as organizações fiquem atentas a anomalias de autenticação de certificados e atividades administrativas suspeitas.

Ameaça de malware atinge servidores FortiClient com falha crítica

Recentemente, um grupo de cibercriminosos explorou uma falha crítica no FortiClient Endpoint Management Server (EMS), que já foi corrigida, para distribuir malware que rouba credenciais. A campanha utilizou a infraestrutura de gerenciamento de endpoints confiável para implantar o malware disfarçado como uma atualização legítima do Fortinet. A vulnerabilidade, identificada como CVE-2026-35616, possui uma pontuação CVSS de 9.1 e permite a escalada de privilégios por meio de um bypass de autenticação de API. Após a exploração, os atacantes modificaram configurações para atrasar lembretes de atualização de firmware e injetaram scripts maliciosos em dispositivos gerenciados. O malware, chamado ‘FortiEndpoint_Patch.exe’, é um ladrão de informações que coleta dados sensíveis, como senhas e informações de cartões de crédito, e os envia para um servidor controlado pelos atacantes. A utilização de comandos PowerShell para executar essas ações destaca a gravidade da situação, pois cada endpoint gerenciado se torna um alvo potencial sem a necessidade de uma intrusão separada.

Campanha de Malware Alvo de Organizações de Criptomoedas

Uma nova campanha de cibersegurança, atribuída ao ator de ameaças JINX-0164, tem como alvo organizações de criptomoedas, utilizando engenharia social e malware específico para macOS. Os pesquisadores da Wiz identificaram que o grupo, ativo desde meados de 2025, emprega técnicas sofisticadas para enganar desenvolvedores, oferecendo oportunidades de emprego falsas através de perfis verificados no LinkedIn. Os alvos são direcionados a um domínio fraudulento que simula um provedor de teleconferência, onde são induzidos a baixar um programa malicioso.

Campanha de Cryptojacking Alvo de Computadores de Alto Desempenho

Uma nova campanha de cryptojacking está atacando sistemas com computadores de alto desempenho, utilizando uma operação de envenenamento de SEO coordenada que manipula recomendações de chatbots de IA. Os ataques começam quando usuários buscam por softwares utilitários legítimos, como CrystalDiskInfo e HWMonitor, e são redirecionados para links maliciosos que aparecem nas primeiras posições dos resultados de busca. Após a infecção, os atacantes ganham acesso persistente ao sistema por meio da ferramenta de gerenciamento remoto ScreenConnect, que pode ser usada para instalar malware adicional.

Botnet Glassworm, que ataca desenvolvedores, é desmantelada

A botnet Glassworm, que visava desenvolvedores em ataques à cadeia de suprimentos de software, foi desmantelada após uma operação coordenada entre CrowdStrike, Google e a Shadowserver Foundation. Desde outubro de 2025, a Glassworm utilizava extensões maliciosas do OpenVSX e do Microsoft VS Code para roubar carteiras de criptomoedas e credenciais de desenvolvedores. As campanhas se expandiram para repositórios do GitHub e pacotes npm, afetando mais de 400 artefatos de software em uma única onda de ataques. A infraestrutura de comando e controle (C2) da botnet era resistente, utilizando transações da blockchain Solana e a rede DHT do BitTorrent, o que dificultava sua desativação. Os pesquisadores destacaram que a combinação de canais de comunicação não tradicionais permitiu que a botnet sobrevivesse por tanto tempo. Para desmantelar a Glassworm, foi necessário interromper quatro canais C2 simultaneamente, o que impediu que máquinas infectadas recebessem novas instruções. Após a operação, máquinas comprometidas começaram a se conectar a um endereço IP controlado pela CrowdStrike, e organizações foram alertadas a tomar medidas imediatas de remediação.

Desmantelamento de canais de comando do malware GlassWorm

A CrowdStrike, em colaboração com o Google e a Shadowserver Foundation, anunciou a interrupção simultânea de todos os canais de comando e controle (C2) associados ao malware GlassWorm. Desde 2025, os operadores do GlassWorm têm como alvo desenvolvedores de software, utilizando pacotes e extensões maliciosas para comprometer repositórios de código e pipelines de CI/CD. O malware se destaca por sua capacidade de infiltrar-se em extensões do VS Code e pacotes npm e Python, visando roubar credenciais e dados sensíveis. Os ataques têm como objetivo principal a instalação de um framework de roubo de dados, que inclui a coleta de informações de navegadores e credenciais de desenvolvedores. A operação utilizou quatro canais C2 distintos, incluindo o uso da blockchain Solana e o Google Calendar, para garantir resiliência contra desmantelamentos. A CrowdStrike atribui a atividade a cibercriminosos possivelmente baseados na Rússia, dado que o malware interrompe sua execução em sistemas da CEI. O artigo destaca a vulnerabilidade da cadeia de suprimentos de software, alertando que, enquanto ambientes de desenvolvimento permanecerem desprotegidos, todos os usuários de software estarão em risco.

Pacote malicioso no npm rouba dados de usuários do Claude AI

Pesquisadores de cibersegurança identificaram um novo pacote malicioso no registro npm, denominado ‘mouse5212-super-formatter’, que possui capacidades de roubo de informações. Segundo a OX Security, o pacote é projetado para fazer upload de arquivos da pasta ‘/mnt/user-data’, utilizada pela ferramenta de inteligência artificial Claude, da Anthropic. O malware, apelidado de Malware-Slop, se apresenta como uma ferramenta interna de sincronização de repositórios do GitHub, mas na verdade, autentica-se na plataforma usando tokens de acesso encontrados no ambiente da vítima ou um token codificado como alternativa. Após verificar a existência de um repositório alvo, o malware cria um novo repositório, caso necessário, e faz o upload recursivo de todos os arquivos para uma conta controlada por um ator de ameaça. O pacote já foi baixado 676 vezes, mas não está claro quantas dessas correspondem a instalações reais. O GitHub associado à campanha foi desativado, embora tenha sido criado poucas horas antes do upload da versão maliciosa. O incidente levanta preocupações sobre a segurança operacional, pois o pacote vazou detalhes do token privado do GitHub, sugerindo que o ator de ameaça pode estar utilizando inteligência artificial para gerar malware sem seguir práticas básicas de segurança operacional.

Campanhas de trojans bancários visam América Latina e Europa

Recentes investigações da WatchGuard e ESET revelaram que duas campanhas de malware, Grandoreiro e BTMOB, estão atacando dispositivos Windows e Android na América Latina e Europa. O Grandoreiro, ativo desde 2016, utiliza a técnica de DLL Side-Loading para infectar sistemas, visando bancos em Portugal e expandindo suas operações apesar de esforços de desmantelamento por autoridades brasileiras. O malware é distribuído principalmente por e-mails de phishing, que induzem os usuários a clicar em links maliciosos. A campanha também incorpora verificações de CAPTCHA para dificultar a análise. Por outro lado, o BTMOB, um trojan de acesso remoto para Android, permite que atacantes desbloqueiem dispositivos, capturem telas e roubem credenciais. Este malware é vendido como um serviço, permitindo que até mesmo usuários sem habilidades de programação criem novas campanhas rapidamente. Ambos os malwares representam um risco significativo, especialmente com a crescente sofisticação das técnicas de ataque, tornando a detecção mais difícil. As empresas devem estar atentas a essas ameaças e implementar medidas de segurança robustas para proteger suas informações financeiras.

Microsoft alerta sobre campanha ativa de cryptojacking com IA

A Microsoft emitiu um alerta sobre uma campanha ativa de cryptojacking que utiliza interações com chatbots de inteligência artificial (IA) para direcionar usuários a sites de download maliciosos. Segundo a empresa, essa técnica de entrega emergente amplia a engenharia social além dos resultados de busca convencionais, aumentando a visibilidade de recomendações de software malicioso. Os atacantes se passam por utilitários de sistema legítimos, como CrystalDiskInfo e HWMonitor, visando usuários com GPUs de alto desempenho. Além de objetivos financeiros, os criminosos buscam estabelecer acesso remoto persistente aos sistemas comprometidos, utilizando implantações do ScreenConnect para atividades subsequentes, como roubo de dados e movimentação lateral. A campanha se destaca por sua abordagem deliberada, focando em dispositivos que maximizam o rendimento da mineração de criptomoedas. A Microsoft detectou e bloqueou atividades relacionadas a essa campanha, que envolve técnicas de SEO e interação com chatbots para enganar usuários em busca de software confiável.

Malware RemotePE Ameaça do Grupo Lazarus a Setores Financeiros

Pesquisadores de cibersegurança identificaram um malware multiplataforma conhecido como RemotePE, utilizado pelo grupo Lazarus, vinculado à Coreia do Norte, em ataques direcionados a organizações financeiras e de criptomoedas. O RemotePE faz parte de uma cadeia de ataque em múltiplas etapas que começa com o DPAPILoader, que descriptografa e carrega o RemotePELoader, que por sua vez se conecta a um servidor de comando e controle (C2) para receber o módulo principal, o RemotePE. Este malware, executado inteiramente na memória, não deixa rastros no sistema de arquivos, dificultando a detecção. A sequência de infecção inicia-se com engenharia social, onde um funcionário é abordado por um criminoso disfarçado de colega em plataformas como Telegram. O RemotePE permite uma variedade de comandos, incluindo operações de arquivos e gerenciamento de processos, e é projetado para manter acesso a longo prazo, visando furtos de dados ou grandes roubos financeiros. A análise indica que o RemotePE está em desenvolvimento ativo desde 2023, com um foco claro em alvos de alto valor, como instituições financeiras e de criptomoedas.

Campanha de ataque à cadeia de suprimentos compromete npm, PyPI e Crates.io

Uma nova campanha de ataque coordenada, chamada TrapDoor, tem como alvo as plataformas npm, PyPI e Crates.io, distribuindo malware que rouba credenciais. Desde 22 de maio de 2026, mais de 34 pacotes maliciosos foram identificados, com 384 versões diferentes. O foco principal do ataque são desenvolvedores nas comunidades de criptomoedas, DeFi, Solana e IA. Os pacotes maliciosos visam roubar segredos de desenvolvedores, carteiras de criptomoedas, chaves SSH e credenciais de nuvem. A operação utiliza métodos sofisticados, como hooks de pós-instalação e scripts de construção maliciosos, para se infiltrar em ambientes de desenvolvimento. Um aspecto notável é a inclusão de instruções ocultas em arquivos que enganam assistentes de IA para realizar varreduras de segurança, resultando na descoberta e exfiltração de segredos. A campanha destaca a crescente tendência de atacantes que visam fluxos de trabalho de desenvolvedores, utilizando técnicas de typosquatting e caminhos de ataque específicos do ecossistema.

Malware AMOS no macOS se espalha por truques simples no terminal

O malware AMOS, também conhecido como Atomic macOS Stealer, representa uma ameaça persistente para dispositivos macOS, explorando comportamentos comuns dos usuários em vez de vulnerabilidades complexas. Recentemente, a Sophos MDR identificou que o AMOS utiliza engenharia social para induzir os usuários a executar comandos maliciosos no Terminal, como parte de uma estratégia de ataque que se tornou mais comum em campanhas de infostealers no macOS. Em 2025, o AMOS foi responsável por quase 40% das atualizações de proteção para macOS da Sophos, evidenciando seu impacto crescente. O malware coleta informações sensíveis, como senhas do Keychain e credenciais de navegadores, armazenando-as em arquivos ocultos. Além disso, ele pode instalar um LaunchDaemon para garantir sua execução após reinicializações do sistema. Apesar de sua gravidade, a eficácia do AMOS pode ser limitada pela necessidade de consentimento do usuário para a execução do comando malicioso. A Apple tem implementado melhorias em suas ferramentas de segurança, o que pode reduzir a eficácia do AMOS em atualizações futuras do sistema operacional.

Ataque à cadeia de suprimentos compromete pacotes de localização do Laravel

Um ataque à cadeia de suprimentos visando os pacotes de localização Laravel Lang expôs desenvolvedores a uma sofisticada campanha de malware que rouba credenciais. Os atacantes abusaram de tags de versão do GitHub para distribuir código malicioso através de pacotes do Composer. As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre a violação, que afetou quatro repositórios da organização Laravel Lang. Os pacotes comprometidos incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os atacantes reescreveram 233 versões em três repositórios, com Socket indicando que cerca de 700 versões históricas podem ter sido afetadas. O ataque se destacou por não modificar o código-fonte original, mas sim por redirecionar tags existentes para um commit malicioso. Quando os desenvolvedores instalavam os pacotes, o código malicioso era baixado disfarçado de versões legítimas. O malware introduziu um arquivo chamado ‘src/helpers.php’, que atuava como um dropper, baixando um segundo payload de um servidor de controle. Este payload era um ladrão de credenciais que coletava dados sensíveis de várias plataformas, incluindo chaves de acesso à nuvem e credenciais de Git. A Aikido informou o Packagist, que rapidamente removeu as versões maliciosas e deslistou os pacotes afetados para evitar novas instalações.

Campanha de ataque à cadeia de suprimentos afeta pacotes do Packagist

Uma nova campanha de ataque coordenado à cadeia de suprimentos impactou oito pacotes no Packagist, incluindo código malicioso que executa um binário Linux a partir de uma URL do GitHub. Os pacotes afetados, todos relacionados ao Composer, tiveram o código malicioso inserido no arquivo package.json, em vez do composer.json, o que pode passar despercebido por desenvolvedores e equipes de segurança que focam apenas nas dependências do Composer. O código malicioso, que foi removido do Packagist, inclui um script postinstall que baixa um binário Linux, altera suas permissões e o executa em segundo plano. A análise revelou que o mesmo payload foi encontrado em 777 arquivos no GitHub, sugerindo uma campanha mais ampla. O nome do malware, ‘gvfsd-network’, é uma referência a um daemon do GNOME, e a natureza exata do payload baixado permanece desconhecida, pois a conta do GitHub associada foi desativada. A instalação maliciosa pode permitir execução remota de código e tenta ocultar suas atividades desativando a verificação TLS e suprimindo erros.

Campanha de ataque à cadeia de suprimentos compromete pacotes PHP do Laravel

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu múltiplos pacotes PHP pertencentes ao Laravel-Lang, visando implantar um framework abrangente para roubo de credenciais. Os pacotes afetados incluem ’laravel-lang/lang’, ’laravel-lang/http-statuses’, entre outros, com mais de 700 versões identificadas, sugerindo um comprometimento automatizado do processo de liberação da organização. O arquivo malicioso, ‘src/helpers.php’, é executado automaticamente em cada requisição PHP, permitindo que o malware colete uma vasta gama de dados, como credenciais de serviços em nuvem, tokens de autenticação e informações de navegadores. O ataque foi realizado entre 22 e 23 de maio de 2026, e o malware se comunica com um servidor externo para exfiltrar dados. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante por parte das organizações que utilizam essas tecnologias.

Campanha automatizada Megalodon compromete repositórios do GitHub

Pesquisadores de cibersegurança revelaram uma nova campanha automatizada chamada Megalodon, que injetou 5.718 commits maliciosos em 5.561 repositórios do GitHub em um intervalo de seis horas. Os atacantes utilizaram contas descartáveis e identidades forjadas para inserir fluxos de trabalho do GitHub Actions que continham payloads em bash codificados em base64. Esses payloads têm a capacidade de exfiltrar segredos de CI, credenciais de nuvem, chaves SSH e outros dados sensíveis para um servidor de comando e controle. Entre os dados coletados estão variáveis de ambiente do CI, credenciais da AWS e do Google Cloud, chaves privadas SSH, tokens OIDC e arquivos de configuração. A campanha foi caracterizada por um uso astuto de nomes de autores e mensagens de commit que imitavam manutenção rotineira. O impacto é significativo, pois uma vez que um repositório é comprometido, o malware pode se espalhar ainda mais, aumentando o risco de roubo de credenciais em larga escala. O grupo TeamPCP, responsável por essa campanha, já comprometeu várias ferramentas de código aberto e parece estar motivado financeiramente, além de ter uma agenda geopolítica, como evidenciado pelo uso de malware destrutivo em máquinas localizadas no Irã e em Israel.

Grupo Ghostwriter usa phishing para atacar governo da Ucrânia

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Usuários de Android em alerta campanha de fraude atinge milhões globalmente

Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

Campanha de ciberespionagem chinesa ataca provedores de telecomunicações

Uma campanha de ciberespionagem atribuída ao grupo de ameaças Calypso, também conhecido como Red Lamassu, tem como alvo provedores de telecomunicações na Ásia-Pacífico e partes do Oriente Médio desde meados de 2022. Os pesquisadores da Lumen’s Black Lotus Labs e da PwC Threat Intelligence identificaram dois tipos de malware: Showboat, para sistemas Linux, e JFMBackdoor, para Windows. O Showboat é um framework modular que permite a persistência após a infecção inicial, coletando informações do sistema comprometido e enviando-as a um servidor de comando e controle. Uma de suas funcionalidades notáveis é a capacidade de atuar como um proxy SOCKS5, facilitando o movimento lateral na rede interna. Por outro lado, o JFMBackdoor é um implante de espionagem completo para Windows, que permite acesso remoto, gerenciamento de arquivos, manipulação do registro e captura de telas. A infraestrutura dos atacantes sugere um modelo operacional descentralizado, com clusters que compartilham ferramentas e padrões de certificação, mas que visam conjuntos de vítimas distintos. A análise indica que as ferramentas podem ser utilizadas por vários grupos de ameaças alinhados à China, aumentando a preocupação com a segurança em telecomunicações.

Novo malware Showboat ataca provedores de telecomunicações no Oriente Médio

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware para Linux chamado Showboat, que tem sido utilizado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração, capaz de criar um shell remoto, transferir arquivos e atuar como um proxy SOCKS5. Acredita-se que o malware esteja associado a grupos de ameaças vinculados à China, com conexões identificadas entre servidores de comando e controle (C2) e endereços IP localizados em Chengdu, na China. Um dos grupos envolvidos é o Calypso, ativo desde 2016, que já atacou instituições estatais em diversos países, incluindo Brasil e Índia. O malware foi classificado como um backdoor sofisticado com capacidades semelhantes a rootkits, e sua entrega ainda não foi determinada. O Showboat é projetado para coletar informações do sistema e se esconder no dispositivo infectado, utilizando um código hospedado no Pastebin. Além disso, a análise da infraestrutura revelou vítimas em Afeganistão e Azerbaijão, além de possíveis compromissos nos EUA e na Ucrânia. A presença de tal malware é um sinal de alerta para problemas de segurança mais amplos nas redes afetadas.

Polícia Cibernética da Ucrânia identifica jovem por malware infostealer

A polícia cibernética da Ucrânia, em colaboração com autoridades dos EUA, identificou um homem de 18 anos de Odesa como suspeito de operar um malware infostealer que visava usuários de uma loja online na Califórnia. Entre 2024 e 2025, o suspeito utilizou malware para infectar dispositivos e roubar sessões de navegador e credenciais de contas. Os infostealers são conhecidos por coletar dados sensíveis, como senhas e informações de pagamento, que são enviados a cibercriminosos para roubo de contas e fraudes. Os ataques afetaram 28 mil contas de clientes, resultando em 5.800 compras não autorizadas que totalizaram cerca de 721 mil dólares. A operação causou perdas diretas de 250 mil dólares. A polícia informou que o suspeito gerenciava a infraestrutura online usada para processar e vender os dados roubados, além de realizar transações em criptomoedas com cúmplices. Embora as buscas tenham sido realizadas e dispositivos confiscados, ainda não houve prisão, indicando que as investigações continuam. O caso destaca a crescente ameaça de malware e a importância de medidas de segurança robustas para proteger dados sensíveis.

Grupo Webworm utiliza Discord e Microsoft Graph para ataques

Pesquisadores de cibersegurança identificaram atividades recentes do grupo de ameaças alinhado à China, conhecido como Webworm, que tem utilizado backdoors personalizados para comunicação de comando e controle (C2) via Discord e Microsoft Graph API. O Webworm, ativo desde pelo menos 2022, tem como alvo agências governamentais e empresas em setores como serviços de TI, aeroespacial e energia elétrica, principalmente na Rússia, Geórgia, Mongólia e outros países asiáticos. Em 2025, o grupo introduziu novas ferramentas, como EchoCreep e GraphWorm, que permitem upload e download de arquivos e execução de comandos. O uso de um repositório do GitHub que se disfarça de um fork do WordPress para distribuir malware é uma tática que visa evitar detecções. Além disso, o grupo tem se afastado de backdoors tradicionais, adotando ferramentas de proxy mais discretas. A análise indica que o Webworm está se expandindo para alvos na Europa e na África do Sul, o que pode representar um risco crescente para organizações em todo o mundo.

Microsoft desmantela operação de malware como serviço global

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que utilizava seu sistema Artifact Signing para distribuir códigos maliciosos, incluindo ransomware. A operação, atribuída ao grupo Fox Tempest, comprometeu milhares de máquinas em todo o mundo desde maio de 2025. A Microsoft, através da operação codinome OpFauxSign, tomou medidas drásticas, como a apreensão do site signspace[.]cloud e a desativação de centenas de máquinas virtuais associadas. O esquema permitia que cibercriminosos disfarçassem malware como software legítimo, utilizando certificados de assinatura fraudulentos válidos por apenas 72 horas. Entre os malwares distribuídos estão o ransomware Rhysida e outras famílias como Oyster e Lumma Stealer. A operação também revelou conexões com grupos de ransomware conhecidos, como INC e BlackByte, que atacaram setores críticos como saúde e finanças em países como EUA, França, Índia e China. A Microsoft destacou que a capacidade de fazer software malicioso parecer legítimo é uma ameaça significativa à segurança cibernética, tornando essencial a interrupção dessa prática.

GitHub investiga acesso não autorizado a repositórios internos

O GitHub anunciou que está investigando um acesso não autorizado a seus repositórios internos, após o grupo de cibercriminosos conhecido como TeamPCP listar o código-fonte da plataforma e informações internas à venda em um fórum de crimes cibernéticos. Embora a empresa não tenha encontrado evidências de que informações de clientes tenham sido comprometidas, está monitorando sua infraestrutura para possíveis atividades subsequentes. O TeamPCP, conhecido por ataques à cadeia de suprimentos de software, está pedindo pelo menos US$ 50.000 pelo acesso a cerca de 4.000 repositórios. O GitHub também revelou que um dispositivo de um funcionário foi comprometido por uma extensão maliciosa do Microsoft Visual Studio Code, levando à rotação de segredos críticos. Além disso, o grupo está por trás da campanha de malware Mini Shai-Hulud, que comprometeu o pacote durabletask, permitindo a exfiltração de credenciais de provedores de nuvem e ferramentas de desenvolvimento. O ataque destaca a vulnerabilidade de ambientes de desenvolvimento e a necessidade de vigilância contínua em relação a ameaças emergentes.

Microsoft desmantela operação de assinatura de malware como serviço

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que explorava seu serviço de assinatura de artefatos para gerar certificados de assinatura de código fraudulentos, utilizados por gangues de ransomware e outros cibercriminosos. O grupo, identificado como Fox Tempest, criou mais de 1.000 certificados e centenas de assinaturas na plataforma Azure Artifact Signing, permitindo que malware fosse assinado digitalmente e reconhecido como software legítimo. A operação foi desmantelada em maio de 2026, com a ajuda de parceiros da indústria, e resultou na revogação de mais de mil certificados. A Microsoft também bloqueou o domínio signspace[.]cloud, utilizado para a operação, e tomou medidas contra a infraestrutura que suportava a plataforma criminosa. O malware assinado foi associado a diversas campanhas de ransomware, incluindo Rhysida e BlackByte, e permitiu que os atacantes disfarçassem software malicioso como aplicativos legítimos, como Microsoft Teams e AnyDesk. A operação gerou milhões de dólares em lucros e utilizou identidades roubadas para obter os certificados de assinatura.

Microsoft desmantela esquema que transformava malware em software confiável

A Microsoft anunciou uma ação global contra o grupo Fox Tempest, que operava um esquema de ‘Malware Signing-as-a-Service’ (MSaaS). Este grupo ajudava cibercriminosos a distribuir malwares disfarçados de softwares legítimos, utilizando certificados digitais fraudulentos. Esses certificados permitiam que arquivos maliciosos fossem instalados sem levantar suspeitas, burlando sistemas de segurança e aumentando as taxas de infecção. O esquema, que funcionava como uma plataforma clandestina, oferecia suporte via Telegram e tinha um sistema de filas para atendimento, cobrando até US$ 9,5 mil por serviços prioritários. A operação da Microsoft resultou na desativação de cerca de mil contas e na transferência de domínios maliciosos para controle da empresa, em colaboração com o FBI e Europol. O Brasil foi identificado como um dos países mais afetados, ocupando a quinta posição no ranking global de alvos. A ação destaca a evolução do cibercrime, que agora se apresenta como uma economia de serviços digitalizada, exigindo uma colaboração mais estreita entre a indústria e as autoridades para combater essas ameaças.

Campanha Shai-Hulud compromete mais de 600 pacotes npm

Um novo ataque da campanha Shai-Hulud resultou na publicação de mais de 600 pacotes maliciosos no Node Package Manager (npm), afetando principalmente o ecossistema @antv, que inclui bibliotecas para visualização de gráficos e fluxogramas. O ataque, que ocorreu em uma janela de apenas uma hora, coletou segredos de ambientes de desenvolvedores e CI/CD, exfiltrando-os através da rede Session P2P para dificultar a detecção. Os hackers comprometeram a conta npm de um mantenedor e injetaram um código malicioso em pacotes populares, como echarts-for-react e @antv/g2plot. A exfiltração de dados foi realizada utilizando o GitHub como um mecanismo de fallback, onde dados roubados foram publicados em repositórios sob as contas das vítimas. A nova variante do malware é capaz de gerar atestações de proveniência válidas, fazendo com que pacotes maliciosos pareçam legítimos. Especialistas recomendam que desenvolvedores que baixaram pacotes infectados removam ou revertam para versões seguras e revoguem credenciais expostas. A campanha Shai-Hulud, que começou em setembro do ano passado, continua a afetar diversos ecossistemas de software, incluindo npm, PyPI e Composer.

Operação Trapdoor Fraude publicitária atinge usuários de Android

Pesquisadores de cibersegurança revelaram uma nova operação de fraude publicitária e malvertising chamada Trapdoor, que visa usuários de dispositivos Android. A operação, identificada pela equipe Satori Threat Intelligence da HUMAN, envolve 455 aplicativos maliciosos e 183 domínios de comando e controle (C2) controlados por criminosos. Os usuários baixam aplicativos que parecem ser utilitários, como visualizadores de PDF ou ferramentas de limpeza de dispositivos, sem saber que estão instalando um software malicioso. Esses aplicativos iniciam campanhas de malvertising, levando os usuários a baixar outros aplicativos maliciosos que carregam anúncios indesejados. A operação é autossustentável, transformando a instalação de um aplicativo em um ciclo de geração de receita ilícita. Em seu auge, a Trapdoor gerou 659 milhões de solicitações de lances por dia, com mais de 24 milhões de downloads de aplicativos associados. A campanha se destaca pelo uso de sites de cashout baseados em HTML5 e técnicas de ativação seletiva que evitam a detecção. Após a divulgação responsável, o Google removeu todos os aplicativos maliciosos identificados da Play Store, neutralizando a operação.

Nova campanha de ataque à cadeia de suprimentos compromete pacotes npm

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu diversos pacotes npm associados ao ecossistema @antv, parte da onda de ataques Mini Shai-Hulud. O ataque afeta pacotes vinculados à conta de mantenedor npm atool, incluindo o popular echarts-for-react, que possui cerca de 1,1 milhão de downloads semanais. A campanha resultou na publicação de 639 versões maliciosas em 323 pacotes únicos, com um foco em roubo de credenciais de mais de 20 tipos, incluindo AWS, Google Cloud e GitHub. Os dados coletados são criptografados e enviados para um domínio controlado pelos atacantes. Além disso, a campanha utiliza uma lógica de propagação que abusa de tokens npm roubados para injetar cargas maliciosas em pacotes legítimos. O grupo responsável, TeamPCP, agora liberou o código-fonte do seu framework ofensivo, permitindo que outros atores maliciosos adotem suas técnicas. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento confiáveis e a necessidade de vigilância constante em ambientes de CI/CD.

Nova variante do infostealer SHub para macOS usa AppleScript

Uma nova variante do infostealer SHub, chamada Reaper, foi identificada como uma ameaça significativa para usuários de macOS. Utilizando AppleScript, o malware exibe uma mensagem falsa de atualização de segurança e instala uma backdoor no sistema. Ao contrário das campanhas anteriores que dependiam de táticas de ‘ClickFix’, o Reaper utiliza o esquema de URL applescript:// para lançar o Editor de Script do macOS com um AppleScript malicioso. Essa abordagem contorna as mitig ações introduzidas pela Apple em março de 2023, que bloqueavam comandos potencialmente prejudiciais no Terminal.

Malware Shai-Hulud ataca pacotes do npm e compromete credenciais

Recentemente, o malware Shai-Hulud, que vazou na semana passada, foi utilizado em novos ataques ao índice do Node Package Manager (npm). Um ator de ameaça, utilizando a conta deadcode09284814, publicou quatro pacotes maliciosos, sendo que um deles continha uma versão não ofuscada do Shai-Hulud, visando credenciais de desenvolvedores, segredos, dados de carteiras de criptomoedas e informações de contas. Os pacotes infectados exfiltravam informações, como credenciais e arquivos de configuração, e um deles transformava o sistema em um bot para atividades de negação de serviço distribuído (DDoS). Pesquisadores da OXsecurity identificaram esses uploads maliciosos e notaram que o ator utilizou nomes com erros de digitação (typosquatting) para enganar usuários do Axios. O pacote chalk-tempalte, que contém um clone do malware, é o primeiro caso documentado de uma cópia do Shai-Hulud implantada no npm. O código malicioso ainda mantém a funcionalidade de publicação no GitHub, o que permite o upload de credenciais roubadas em repositórios públicos. Os pesquisadores recomendam que desenvolvedores que baixaram pacotes infectados os removam imediatamente e rotacionem suas credenciais e chaves de API.