Malware

Pesquisadores da Cisco Talos identificaram um grupo de hackers chineses, conhecido como UAT-8099, que manipula mecanismos de busca para infectar servidores, especialmente os da Microsoft (IIS), no Brasil e em outros países. O ataque visa roubar credenciais, arquivos de configuração e certificados de vítimas, incluindo universidades e empresas de tecnologia. O grupo utiliza técnicas de SEO para manter seus sites maliciosos em posições altas nos resultados de busca, empregando malwares como o BadIIS, que possui táticas de evasão de antivírus. Os hackers exploram vulnerabilidades em servidores IIS, como configurações inadequadas e brechas de segurança, criando backdoors para garantir acesso contínuo, mesmo após a remoção de arquivos maliciosos. O uso de ferramentas open-source, como Cobalt Strike, e técnicas de proxy ajudam a evitar a detecção. O impacto ainda não é totalmente claro, mas a situação requer atenção, especialmente para organizações que utilizam servidores IIS.

Uma nova campanha de spyware chamada ClayRat tem se espalhado rapidamente, visando usuários de Android na Rússia. Os atacantes utilizam canais do Telegram e sites de phishing que imitam aplicativos populares como WhatsApp, Google Photos, TikTok e YouTube para enganar as vítimas e induzi-las a instalar o malware. Uma vez ativo, o ClayRat pode exfiltrar mensagens SMS, registros de chamadas, notificações e informações do dispositivo, além de tirar fotos com a câmera frontal e enviar mensagens SMS ou fazer chamadas diretamente do aparelho da vítima.

Pesquisadores de segurança da Volexity descobriram que grupos de ameaças alinhados à China, identificados como UTA0388, estão utilizando plataformas de inteligência artificial como o ChatGPT para aprimorar suas capacidades de ciberataque. Desde junho de 2025, esses atores têm conduzido campanhas de spear phishing, desenvolvendo malware sofisticado e criando e-mails de phishing multilíngues que visam organizações na América do Norte, Ásia e Europa. As campanhas do UTA0388 demonstram um nível de sofisticação sem precedentes ao usar Modelos de Linguagem Grande (LLMs) para automatizar atividades maliciosas. Através da criação de personas fictícias e organizações de pesquisa inventadas, os atacantes conseguem enganar suas vítimas para que baixem cargas maliciosas. Mais de 50 e-mails de phishing únicos foram observados, cada um com uma fluência impressionante, mas frequentemente sem coerência semântica, indicando uma geração impulsionada por IA. A análise técnica revelou cinco variantes distintas de um malware chamado GOVERSHELL, cada uma sendo uma reescrita completa, sugerindo o uso de geração de código assistida por IA. A integração da IA nas operações cibercriminosas sinaliza uma nova era de atividades de ameaças automatizadas e em larga escala, exigindo que as organizações adotem novas estratégias de defesa, como a detecção baseada em comportamento e o compartilhamento de inteligência sobre ameaças.

No primeiro semestre de 2025, hackers russos intensificaram o uso de inteligência artificial (IA) em ataques cibernéticos contra a Ucrânia, conforme relatado pelo Serviço Estatal de Comunicações Especiais e Proteção da Informação (SSSCIP). A agência registrou 3.018 incidentes cibernéticos, um aumento em relação aos 2.575 do segundo semestre de 2024. Os ataques incluem campanhas de phishing e o uso de malware gerado por IA, como o WRECKSTEEL, que visa a administração estatal e infraestrutura crítica. Além disso, grupos como UAC-0218 e UAC-0226 têm direcionado suas ações a forças de defesa e órgãos governamentais, utilizando táticas sofisticadas como arquivos RAR armadilhados e técnicas de engenharia social. O SSSCIP também observou a exploração de vulnerabilidades em softwares de webmail, permitindo ataques sem interação do usuário. A utilização de serviços legítimos como Dropbox e Google Drive para hospedar malware também tem crescido, evidenciando a adaptação dos atacantes às tecnologias disponíveis. O cenário de guerra híbrida se intensifica, com operações cibernéticas sincronizadas a ataques físicos no campo de batalha.

Pesquisadores de cibersegurança alertam sobre uma campanha maliciosa que visa sites WordPress, injetando JavaScript malicioso para redirecionar usuários a sites suspeitos. A empresa de segurança Sucuri iniciou uma investigação após um de seus clientes relatar que seu site WordPress estava servindo conteúdo JavaScript de terceiros. Os atacantes modificaram um arquivo relacionado ao tema (‘functions.php’), inserindo código que faz referência ao Google Ads para evitar detecção. O código atua como um carregador remoto, enviando requisições HTTP para o domínio ‘brazilc[.]com’, que responde com um payload dinâmico. Este payload inclui um arquivo JavaScript hospedado em ‘porsasystem[.]com’, que realiza redirecionamentos, e um iframe oculto que imita ativos legítimos do Cloudflare. Além disso, um novo kit de phishing, chamado IUAM ClickFix Generator, permite que atacantes criem páginas de phishing personalizáveis, aumentando a eficácia dos ataques. A técnica de ‘cache smuggling’ também foi identificada, permitindo que scripts maliciosos sejam armazenados no cache do navegador sem a necessidade de downloads explícitos. A situação destaca a importância de manter sites WordPress seguros e atualizados, além de reforçar a necessidade de senhas fortes e monitoramento constante.

Um grupo de cibercriminosos com supostas ligações à China transformou a ferramenta de monitoramento de código aberto Nezha em uma arma de ataque, utilizando-a para distribuir o malware conhecido como Gh0st RAT. A atividade foi detectada pela empresa de cibersegurança Huntress em agosto de 2025 e envolveu uma técnica incomum chamada ’log poisoning’ para implantar um web shell em servidores vulneráveis. Os invasores conseguiram acesso inicial através de um painel phpMyAdmin exposto e vulnerável, alterando a linguagem para chinês simplificado. Após acessar a interface SQL do servidor, eles executaram comandos SQL para inserir um web shell PHP, que foi registrado em um arquivo de log. Isso permitiu que os atacantes utilizassem o web shell ANTSWORD para executar comandos e implantar o agente Nezha, que possibilita o controle remoto de máquinas infectadas. A maioria das vítimas está localizada em Taiwan, Japão, Coreia do Sul e Hong Kong, mas há também um número significativo em outros países, incluindo Brasil, Reino Unido e Estados Unidos. Este incidente destaca como ferramentas de código aberto podem ser mal utilizadas por cibercriminosos, representando um risco crescente para a segurança cibernética global.

No dia 8 de outubro de 2025, a OpenAI anunciou a interrupção de três grupos de atividade que estavam utilizando sua ferramenta de inteligência artificial, o ChatGPT, para facilitar o desenvolvimento de malware. Um dos grupos, de língua russa, usou o chatbot para criar e aprimorar um trojan de acesso remoto (RAT) e um ladrão de credenciais, buscando evitar a detecção. A OpenAI observou que esses usuários estavam associados a grupos criminosos que compartilhavam evidências de suas atividades em canais do Telegram. Embora os modelos de linguagem da OpenAI tenham se recusado a atender a pedidos diretos para criar conteúdo malicioso, os criminosos contornaram essa limitação, gerando códigos que foram montados para criar fluxos de trabalho maliciosos. Outro grupo, da Coreia do Norte, utilizou o ChatGPT para desenvolver malware e ferramentas de comando e controle, enquanto um terceiro grupo, da China, focou em campanhas de phishing. Além disso, a OpenAI bloqueou contas que estavam envolvidas em fraudes e operações de influência, incluindo atividades de vigilância ligadas a entidades governamentais chinesas. A empresa destacou que os atores de ameaça estão se adaptando para ocultar sinais de que o conteúdo foi gerado por uma ferramenta de IA, o que representa um novo desafio para a segurança cibernética.

Uma nova campanha de ciberespionagem atribuída ao grupo Mustang Panda, também conhecido como TA416, foi identificada pela IBM X-Force. Essa campanha, que visa a comunidade tibetana por motivos políticos, utiliza uma técnica refinada de DLL side-loading. O ataque começa com e-mails de phishing que contêm um arquivo ZIP malicioso, que abriga um executável disfarçado e uma biblioteca de link dinâmico (DLL) oculta. O executável, chamado ‘Voice for the Voiceless Photos.exe’, é visível, enquanto a DLL, ’libjyy.dll’, permanece oculta devido a atributos de arquivo específicos. Ao ser executado, o loader disfarçado carrega a DLL e inicia o malware Claimloader, que realiza a decriptação de strings, estabelece mecanismos de persistência e executa um shellcode adicional. O Claimloader se copia em um diretório falso para garantir sua execução contínua, enquanto o shellcode Publoader se conecta aos servidores de comando e controle do Mustang Panda. Essa campanha demonstra a sofisticação crescente do grupo e sua capacidade de evadir detecções forenses, utilizando técnicas de ocultação e criptografia de strings personalizadas.

Um novo grupo de ameaças cibernéticas, conhecido como BatShadow, originário do Vietnã, está sendo associado a uma campanha que utiliza táticas de engenharia social para enganar profissionais em busca de emprego e de marketing digital. Os atacantes se passam por recrutadores, enviando arquivos maliciosos disfarçados de descrições de trabalho e documentos corporativos. Ao serem abertos, esses arquivos iniciam uma cadeia de infecção de um malware inédito chamado Vampire Bot, desenvolvido em Go.

Uma recente campanha de malware tem comprometido sites WordPress ao injetar funções PHP maliciosas que carregam JavaScript controlado por atacantes, afetando a sessão de todos os visitantes. A violação foi identificada em um pequeno trecho de código adicionado ao arquivo functions.php do tema ativo, mostrando como pequenas modificações podem ter um grande impacto. O código injetado utiliza hooks do WordPress para ser executado em cada carregamento de página, contatando silenciosamente um servidor de comando e controle para baixar cargas maliciosas.

Uma nova campanha de malware chamada TamperedChef tem causado preocupação entre organizações europeias ao se disfarçar como um editor de PDF legítimo, o AppSuite PDF Editor. O malware, que permaneceu inativo por quase dois meses, foi ativado em 21 de agosto de 2025, e começou a roubar credenciais de navegadores, permitindo a instalação de backdoors. O ataque começou com anúncios em motores de busca que redirecionavam usuários para domínios controlados pelos atacantes, onde um pacote de instalação malicioso era oferecido. Após a instalação, o malware se escondia sob a aparência de um editor de PDF, enquanto coletava informações sensíveis armazenadas em navegadores como Chrome, Firefox e Edge. Os atacantes também lançaram atualizações do aplicativo que removiam a lógica maliciosa visível, mas mantinham conexões com a infraestrutura controlada por eles. Além disso, uma variante chamada S3-Forge está sendo testada, indicando uma evolução nas táticas de distribuição. Para mitigar os riscos, as organizações devem proibir instalações de anúncios não confiáveis, implementar listas de permissões rigorosas e monitorar atividades suspeitas em aplicações Electron.

Um novo Trojan de Acesso Remoto (RAT) para Android, anunciado como totalmente indetectável, foi encontrado publicamente no GitHub, levantando sérias preocupações entre pesquisadores de cibersegurança. Este RAT é projetado para contornar restrições de permissões e processos em segundo plano, especialmente em ROMs chinesas como MIUI e EMUI, representando uma das ameaças mais sofisticadas já observadas no Android.

O malware utiliza um dropper de múltiplas camadas que insere seu payload em aplicativos Android legítimos, permitindo que usuários desavisados instalem APKs comprometidos. Uma vez instalado, o RAT consegue escalar silenciosamente suas permissões, neutralizando o modelo de permissões do usuário. Com comunicação criptografada e técnicas de evasão, ele se torna quase invisível para softwares antivírus.

Pesquisadores em cibersegurança analisaram a evolução do malware XWorm, que se tornou uma ferramenta versátil para diversas ações maliciosas em sistemas comprometidos. Com um design modular, XWorm é composto por um cliente central e plugins especializados que executam ações específicas, como roubo de dados, keylogging e operações de ransomware. Desde sua primeira observação em 2022, o malware, associado ao ator de ameaças EvilCoder, tem se espalhado principalmente por e-mails de phishing e sites fraudulentos. Recentemente, novas variantes, como o XWorm 6.0, foram identificadas, oferecendo funcionalidades adicionais e utilizando arquivos JavaScript maliciosos para injetar o malware em processos legítimos do Windows. A modularidade do XWorm permite que comandos sejam enviados de servidores externos, facilitando ações como ataques DDoS e manipulação de arquivos. Apesar de um aparente abandono por parte de seu desenvolvedor original, o malware continua a ser distribuído e atualizado, destacando a necessidade de medidas de segurança robustas para enfrentar essas ameaças em constante evolução.

Pesquisadores da Elastic Security Labs identificaram melhorias significativas no malware WARMCOOKIE, que evoluiu de uma ferramenta básica de reconhecimento para uma plataforma sofisticada de entrega de payloads. As novas variantes introduzem quatro manipuladores de comando que ampliam a flexibilidade operacional dos atacantes em sistemas comprometidos, incluindo execução de arquivos PE, DLL e scripts PowerShell. Essa abordagem utiliza processos legítimos do Windows, como rundll32.exe, dificultando a detecção. Além disso, um sistema inovador de “string bank” foi implementado para evitar sistemas de detecção comportamental, selecionando dinamicamente nomes de empresas reais para caminhos de pastas e tarefas agendadas. A análise da infraestrutura revela padrões de persistência preocupantes, com os operadores utilizando um certificado SSL padrão em múltiplos servidores de comando e controle, mesmo após sua expiração. Apesar de esforços de desmantelamento, como a Operação Endgame da Europol, o WARMCOOKIE continua a ser distribuído ativamente por meio de campanhas de malvertising e spam, evidenciando a resiliência dos operadores.

Pesquisadores da SpyCloud Labs realizaram uma análise detalhada do Asgard Protector, um sofisticado crypter de malware frequentemente associado ao infostealer LummaC2. A pesquisa revelou que o Asgard utiliza um processo de instalação em múltiplas etapas, disfarçando sua verdadeira intenção ao se apresentar como instaladores de software legítimos. O malware é distribuído em pacotes NSIS, que extraem scripts maliciosos em diretórios temporários do Windows, utilizando extensões de arquivo enganosas para confundir ferramentas de análise automatizadas.

Pesquisadores da Infoblox revelaram uma campanha de malware chamada DetourDog, que comprometeu mais de 30.000 sites sem que os usuários percebessem. O ataque se aproveitou de servidores desprotegidos, utilizando um malware que redireciona visitantes para sites maliciosos. As requisições de DNS são feitas pelo próprio site comprometido, tornando o ataque invisível para as vítimas. Os usuários são redirecionados para sites que hospedam um infostealer conhecido como Strela Stealer, que rouba credenciais de diversas fontes, incluindo e-mails. O Strela Stealer, que evoluiu desde sua primeira identificação em 2022, se comunica com servidores de comando e controle para coletar dados e receber atualizações. Embora a Infoblox não tenha atribuído o ataque a um grupo específico, a origem pode estar relacionada a países do leste europeu, dado o significado da palavra ‘Strela’. As organizações são aconselhadas a auditar suas configurações de DNS e monitorar tráfego incomum para se protegerem contra esse tipo de ameaça.

Pesquisadores de cibersegurança identificaram um grupo de cibercrime de língua chinesa, codinome UAT-8099, que se especializa em fraudes de otimização para motores de busca (SEO) e roubo de credenciais valiosas, arquivos de configuração e dados de certificados. Os ataques têm como alvo servidores Microsoft Internet Information Services (IIS), com infecções relatadas principalmente na Índia, Tailândia, Vietnã, Canadá e Brasil, afetando universidades, empresas de tecnologia e provedores de telecomunicações. O grupo, descoberto em abril de 2025, foca em usuários móveis, tanto de dispositivos Android quanto de iPhones. UAT-8099 manipula rankings de busca utilizando ferramentas como Cobalt Strike e malware BadIIS, além de scripts automatizados que evitam detecções. Após comprometer um servidor IIS vulnerável, o grupo utiliza shells web para realizar reconhecimento e escalar privilégios, habilitando o Protocolo de Área de Trabalho Remota (RDP) para acessar dados valiosos. O malware BadIIS, uma variante que evita a detecção por antivírus, opera em três modos, incluindo a manipulação de backlinks para aumentar a visibilidade de sites. A situação é preocupante, pois o grupo já comprometeu um número indeterminado de servidores, e suas táticas podem impactar significativamente a segurança digital no Brasil.

Em 4 de junho de 2025, pesquisadores de cibersegurança identificaram as primeiras implantações ativas da variante XWorm V6.0, que representa o retorno inesperado da infame família de RATs modulares. Esta nova variante mantém a arquitetura central de seu predecessor, mas incorpora melhorias para contornar a detecção por antivírus e aumentar a persistência. Os atacantes estão distribuindo o XWorm V6 por meio de campanhas de phishing, utilizando dropers de JavaScript maliciosos que se conectam silenciosamente a scripts PowerShell antes de entregar um DLL injetor.

O malware Rhadamanthys, promovido por um ator de ameaças conhecido como kingcrete2022, se destaca como um dos principais ladrões de informações disponíveis sob o modelo de malware-as-a-service (MaaS). Com a versão 0.9.2, o software agora coleta impressões digitais de dispositivos e navegadores, ampliando suas capacidades além da simples coleta de dados. A Check Point revelou que os desenvolvedores rebranding como ‘RHAD security’ e ‘Mythical Origin Labs’ estão oferecendo pacotes que variam de $299 a $499 por mês, indicando uma profissionalização do serviço. A nova versão inclui recursos para evitar a detecção, como alertas que permitem a execução do malware sem danos ao sistema. Além disso, o malware utiliza técnicas de esteganografia para ocultar seu payload, que é extraído e executado após uma série de verificações para evitar ambientes de sandbox. A evolução do Rhadamanthys, com a adição de um runner Lua para plugins, representa uma ameaça crescente à segurança pessoal e corporativa, exigindo atenção contínua dos profissionais de segurança.

O grupo de ameaças conhecido como Detour Dog foi identificado como responsável pela distribuição de um malware chamado Strela Stealer, que atua como um ladrão de informações. A análise da Infoblox revelou que Detour Dog controla domínios que hospedam a primeira fase do malware, um backdoor chamado StarFish. Desde agosto de 2023, a Infoblox vem monitorando as atividades do grupo, que inicialmente se concentrava em redirecionar tráfego de sites WordPress para páginas maliciosas. O malware evoluiu para executar conteúdo remoto através de um sistema de comando e controle baseado em DNS.

Uma campanha de malware chamada SORVEPOTEL foi identificada como uma ameaça significativa, visando ambientes Windows ao explorar sessões comprometidas do WhatsApp. A pesquisa indica que 457 das 477 infecções confirmadas estão concentradas no Brasil, com um foco particular em empresas e organizações públicas. O vetor inicial de infecção é um phishing convincente, enviado via WhatsApp ou e-mail, que contém um arquivo ZIP disfarçado de documento inofensivo. Ao ser aberto, o arquivo revela um atalho malicioso que executa um comando PowerShell ofuscado, baixando e executando scripts adicionais de domínios controlados pelos atacantes.

O GhostSocks é um novo serviço de Malware-as-a-Service (MaaS) que ganhou destaque entre cibercriminosos, permitindo que dispositivos comprometidos operem como proxies residenciais. Lançado em 15 de outubro de 2023 em um fórum russo, o GhostSocks utiliza endereços IP legítimos para redirecionar tráfego fraudulento, burlando sistemas de segurança e controle anti-fraude. A facilidade de uso e a integração com outros frameworks de malware tornaram o GhostSocks popular tanto entre fraudadores iniciantes quanto entre grupos de ransomware mais sofisticados.

Um grupo de cibercriminosos, conhecido como Cavalry Werewolf, está atacando o setor público da Rússia utilizando malwares como FoalShell e StallionRAT. A empresa de cibersegurança BI.ZONE identificou que os atacantes enviaram e-mails de phishing disfarçados de correspondências oficiais de funcionários do governo do Quirguistão. Os principais alvos incluem agências estatais russas e empresas dos setores de energia, mineração e manufatura. Os ataques, que ocorreram entre maio e agosto de 2025, envolveram o uso de endereços de e-mail falsos e, em alguns casos, até endereços legítimos comprometidos. O FoalShell permite que os operadores executem comandos arbitrários, enquanto o StallionRAT, que também é capaz de exfiltrar dados via bot do Telegram, oferece funcionalidades semelhantes. A análise sugere que o grupo pode ter vínculos com o Cazaquistão, reforçando a hipótese de que se trata de um ator de ameaça associado a essa região. A crescente atividade de Cavalry Werewolf destaca a necessidade de vigilância constante e atualização das medidas de segurança para prevenir tais ataques.

Um novo malware autônomo, denominado SORVEPOTEL, está atacando usuários brasileiros através do WhatsApp, conforme relatado pela Trend Micro. Este malware se propaga rapidamente entre sistemas Windows, utilizando mensagens de phishing convincentes que contêm anexos ZIP maliciosos. Os pesquisadores observaram que a maioria das infecções ocorreu em setores como governo, serviços públicos, tecnologia e educação, com 457 dos 477 casos registrados no Brasil. O ataque começa com uma mensagem de phishing enviada de um contato comprometido, que inclui um arquivo ZIP disfarçado de recibo ou arquivo relacionado a aplicativos de saúde. Ao abrir o anexo, o usuário é levado a executar um arquivo de atalho do Windows que ativa um script PowerShell, baixando o payload principal de um servidor externo. O malware, uma vez instalado, se propaga automaticamente através do WhatsApp Web, enviando o arquivo ZIP para todos os contatos do usuário infectado, resultando em um grande volume de mensagens de spam e, frequentemente, na suspensão das contas. Embora o SORVEPOTEL não tenha mostrado interesse em roubo de dados ou ransomware, sua capacidade de se espalhar rapidamente representa uma ameaça significativa para empresas e usuários no Brasil.

O grupo de ciberespionagem Confucius tem intensificado suas atividades, utilizando documentos maliciosos para atacar sistemas Windows. Em uma campanha de phishing direcionada a entidades governamentais do Paquistão, o grupo lançou um arquivo PowerPoint infectado que, ao ser aberto, baixava um malware chamado AnonDoor. Este malware, baseado em Python, permite acesso persistente aos sistemas comprometidos. O ataque começa com um arquivo .ppsx que, ao ser executado, carrega um script VB que baixa um payload malicioso. O AnonDoor é um backdoor que coleta informações do sistema e permite a execução de comandos remotos, incluindo captura de tela e extração de senhas de navegadores. A transição do grupo de ferramentas simples para backdoors mais sofisticados indica uma estratégia de evasão e flexibilidade. Organizações devem implementar filtros de e-mail rigorosos e monitorar a criação de tarefas agendadas para se proteger contra essas ameaças.

Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório Python Package Index (PyPI) chamado ‘soopsocks’, que prometia criar um serviço de proxy SOCKS5, mas na verdade funcionava como um backdoor para instalar cargas adicionais em sistemas Windows. O pacote, que foi baixado 2.653 vezes antes de ser removido, foi carregado por um usuário que criou a conta no mesmo dia. A análise da JFrog revelou que o pacote utilizava um executável (’_AUTORUN.EXE’) que, além de implementar o SOCKS5, executava scripts PowerShell, configurava regras de firewall e se relançava com permissões elevadas. O pacote também realizava reconhecimento do sistema e exfiltrava informações para um webhook do Discord. O script Visual Basic (’_AUTORUN.VBS’) presente nas versões 0.2.5 e 0.2.6 do pacote também era capaz de baixar um arquivo ZIP com um binário Python legítimo, instalando-o de forma automatizada. A situação ocorre em um contexto de crescente preocupação com a segurança da cadeia de suprimentos de software, levando a mudanças nas políticas de tokens de acesso no GitHub e ao lançamento de ferramentas como o Socket Firewall, que visa bloquear pacotes maliciosos durante a instalação.

O grupo de hackers conhecido como Confucius está por trás de uma nova campanha de phishing que visa o Paquistão, utilizando malwares como WooperStealer e Anondoor. Desde 2013, esse grupo tem se especializado em atacar agências governamentais, organizações militares e indústrias críticas na região, empregando técnicas de spear-phishing e documentos maliciosos para obter acesso inicial. Recentemente, foram documentadas várias cadeias de ataque, incluindo uma em dezembro de 2024, onde um arquivo .PPSX enganou os usuários a abrir um arquivo que entregava o WooperStealer através de técnicas de DLL side-loading. Em março de 2025, outra onda de ataques utilizou arquivos de atalho do Windows (.LNK) para liberar o mesmo malware. Em agosto de 2025, um novo arquivo .LNK foi identificado, que introduziu o Anondoor, um backdoor em Python projetado para exfiltrar informações do dispositivo e executar comandos. O grupo tem mostrado uma forte adaptabilidade, utilizando técnicas de ofuscação para evitar detecções e ajustando suas ferramentas conforme as prioridades de coleta de inteligência mudam. Essa evolução nas táticas do Confucius destaca a persistência e a eficácia operacional do grupo, que continua a representar uma ameaça significativa na região.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

Um estudo da Trend Micro revelou que malwares estão se disfarçando como ferramentas de inteligência artificial para infectar empresas em diversas regiões do mundo, incluindo Brasil, Estados Unidos, França e Índia. O malware mais destacado na pesquisa é o EvilAI, que imita softwares legítimos, dificultando a detecção por parte dos usuários. Os alvos principais incluem indústrias, agências governamentais e setores de saúde e tecnologia. Os hackers utilizam certificados válidos de empresas descartáveis para aumentar a credibilidade dos programas maliciosos. Uma vez instalados, esses malwares conseguem extrair dados sensíveis dos navegadores das vítimas e enviá-los para servidores controlados pelos criminosos. A distribuição ocorre por meio de anúncios falsos, sites de venda fraudulentos e manipulação de SEO. A situação é alarmante, pois a popularidade das ferramentas de IA está sendo explorada para enganar usuários, e a criação de mercados de malware na dark web facilita ainda mais esses ataques. Especialistas alertam que a tendência pode se intensificar, exigindo atenção redobrada das empresas em relação à segurança cibernética.

Uma nova técnica de rootkit chamada FlipSwitch foi descoberta, permitindo que atacantes contornem as melhorias de segurança do kernel Linux 6.9. Essa técnica representa um retrocesso na proteção do sistema, pois os invasores agora visam a lógica do novo despachante de chamadas do kernel, em vez de sobrescrever a tabela de chamadas de sistema, uma abordagem que se tornou obsoleta. O FlipSwitch funciona ao localizar e reescrever o código de máquina do próprio kernel dentro do despachante de chamadas do sistema, redirecionando a execução para manipuladores maliciosos. Essa técnica é reversível, permitindo que os atacantes removam vestígios de sua presença. A detecção de rootkits de kernel é desafiadora, mas pesquisadores lançaram uma assinatura YARA para identificar o FlipSwitch, tanto em disco quanto na memória. Essa evolução nas técnicas de ataque destaca a constante luta entre o endurecimento do Linux e a adaptação dos invasores, mostrando que o progresso defensivo não elimina a ameaça, mas muda suas regras.

Recentemente, a equipe de pesquisa de segurança da Frog revelou um pacote no PyPI chamado SoopSocks, que se disfarçava como um instalador simples de proxy SOCKS5, mas incorporava funcionalidades de backdoor em sistemas Windows. O pacote, que prometia criar serviços SOCKS5 e relatar dados via webhooks do Discord, foi retirado do PyPI em 29 de setembro após a divulgação de seu comportamento suspeito. As versões iniciais implementavam um servidor SOCKS5 básico, mas atualizações posteriores introduziram um executável compilado em Go, chamado autorun.exe, que se instalava como um serviço do Windows. O instalador executa rotinas silenciosas, eleva privilégios e garante persistência no sistema. O SoopSocks escuta na porta 1080 sem autenticação, permitindo o encaminhamento de tráfego TCP e UDP, enquanto coleta dados de rede e os envia a um webhook do Discord a cada 30 segundos. Os indicadores de comprometimento incluem o binário autorun.exe, o serviço SoopSocksSvc e regras de firewall para a porta 1080. A ameaça representa um alto risco para redes corporativas, exigindo ações imediatas de remediação, como isolamento de hosts infectados e bloqueio de conexões ao webhook do Discord.

Cibercriminosos têm utilizado campanhas de engenharia social sofisticadas para atacar idosos em diversos países, incluindo Brasil, através de grupos falsos no Facebook que promovem viagens para a terceira idade. O malware, conhecido como Datzbro, é um trojan bancário que se aproveita de serviços de acessibilidade do Android para realizar operações de controle remoto do dispositivo da vítima. Os criminosos atraem os usuários com conteúdos aparentemente legítimos sobre atividades sociais e, ao demonstrar interesse, enviam links maliciosos via Facebook Messenger ou WhatsApp.

Cibercriminosos estão intensificando suas táticas ao abusar de certificados de assinatura de código de Validação Estendida (EV) para evitar detecções de segurança no macOS. Uma nova campanha associada à família de malware Odyssey Stealer foi identificada, utilizando certificados de ID de desenvolvedor da Apple fraudulentamente emitidos, permitindo a distribuição de DMGs que passam despercebidos por verificações de segurança. Pesquisadores descobriram um arquivo DMG malicioso assinado com um certificado de ID de desenvolvedor suspeito, vinculado a um nome fabricado, ‘THOMAS BOULAY DUVAL’. O malware, uma vez executado, baixa um payload malicioso que exfiltra dados sensíveis, como credenciais de navegador e informações de carteiras de criptomoedas. O uso de certificados EV, que são caros e requerem validação rigorosa, permite que os atacantes distribuam malware que parece ser um aplicativo legítimo do macOS, contornando as verificações do Gatekeeper e ganhando a confiança do usuário. Embora o processo de revogação de assinatura de código da Apple ajude a mitigar esse abuso, o tempo entre a descoberta e a revogação oferece uma janela operacional valiosa para os atacantes. Essa campanha destaca a determinação dos cibercriminosos em minar os mecanismos de segurança baseados em confiança tanto no ecossistema Windows quanto no macOS.

A campanha ‘Detour Dog’, um ator de ameaças ativo desde fevereiro de 2020, lançou uma nova estratégia inovadora para distribuir o malware Strela Stealer. Utilizando consultas de registros DNS TXT, a campanha consegue redirecionar visitantes de sites comprometidos e entregar malware em múltiplas etapas, afetando dezenas de milhares de sites ao redor do mundo. Essa abordagem permite que o Detour Dog evite a detecção e mantenha controle sobre a infraestrutura infectada.

O Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta sobre novos ataques cibernéticos direcionados no país, utilizando um backdoor denominado CABINETRAT. A atividade, atribuída ao grupo de ameaças UAC-0245, foi detectada em setembro de 2025, após a descoberta de arquivos XLL, que são complementos do Microsoft Excel. Esses arquivos estão sendo distribuídos em arquivos ZIP pelo aplicativo de mensagens Signal, disfarçados como documentos relacionados à detenção de indivíduos na fronteira ucraniana.

Um novo trojan bancário para Android, chamado Klopatra, foi descoberto e já comprometeu mais de 3.000 dispositivos, principalmente na Espanha e na Itália. Identificado pela empresa italiana Cleafy, o malware utiliza uma técnica avançada de controle remoto chamada VNC (Virtual Network Computing) e sobreposições dinâmicas para roubo de credenciais, facilitando transações fraudulentas. Os pesquisadores destacam que Klopatra representa uma evolução significativa na sofisticação do malware móvel, utilizando bibliotecas nativas e uma ferramenta de proteção de código comercial chamada Virbox, o que dificulta sua detecção.

Pesquisadores da Bitdefender identificaram uma campanha de hackers que, desde 2024, utiliza canais verificados no YouTube para disseminar malware. Inicialmente, o golpe começou com anúncios no Facebook, prometendo acesso gratuito à versão premium da plataforma de trading TradingView. Recentemente, os criminosos invadiram a conta de um anunciante de uma agência de design na Noruega, substituindo o conteúdo do canal por uma identidade visual que imitava a TradingView, o que conferiu legitimidade ao golpe.

Um novo ataque de phishing está disseminando o trojan de acesso remoto XWorm, conforme análise da Forcepoint X-Labs. Os e-mails maliciosos, enviados em espanhol com o assunto ‘Facturas pendientes de pago’, contêm anexos com a extensão .xlam. Ao serem abertos, esses arquivos podem parecer vazios, mas já iniciam a infecção no computador da vítima. O XWorm utiliza um dropper chamado oleObject1.bin, que baixa um executável malicioso (UXO.exe) de um servidor específico. Este executável instala uma DLL (DriverFixPro.dll) que opera diretamente na memória, evitando a detecção por antivírus. Desde janeiro, cerca de 18.459 dispositivos foram comprometidos, com o malware roubando senhas e tokens de contas, incluindo do Discord. Para se proteger, é essencial estar atento a anexos suspeitos e manter sistemas e aplicativos de segurança atualizados.

Um novo grupo de ameaças persistentes avançadas (APT) alinhado ao Estado chinês, denominado Phantom Taurus, foi identificado após três anos de monitoramento pela Palo Alto Networks. Este grupo tem como alvo principal entidades governamentais e provedores de telecomunicações na África, Oriente Médio e Ásia, e está vinculado a operações de espionagem de longo prazo que apoiam os interesses geopolíticos da República Popular da China.

O Phantom Taurus se destaca por sua combinação de técnicas de infiltração discretas e malware personalizado. Em 2025, o grupo alterou suas táticas, passando de ataques de exfiltração de e-mails para o direcionamento direto de bancos de dados sensíveis. O núcleo de suas operações é a suíte de malware NET-STAR, que inclui backdoors projetados para infectar servidores web Microsoft IIS. O malware utiliza técnicas avançadas de evasão e execução sem arquivos, dificultando a detecção por defesas tradicionais.

Pesquisadores de cibersegurança identificaram um novo trojan bancário para Android, chamado Datzbro, que realiza ataques de tomada de controle de dispositivos e transações fraudulentas, especialmente visando idosos. A empresa ThreatFabric, da Holanda, descobriu a campanha em agosto de 2025, após relatos de usuários na Austrália sobre golpistas que gerenciavam grupos no Facebook promovendo ‘viagens ativas para idosos’. Os criminosos também atuaram em países como Singapura, Malásia, Canadá, África do Sul e Reino Unido.

Uma nova campanha de cibersegurança identificada pela Blackpoint SOC revela que hackers estão explorando o Microsoft Teams para disseminar malware. Utilizando técnicas de envenenamento de SEO e anúncios patrocinados, os criminosos atraem usuários que buscam baixar o aplicativo oficial. Ao clicar em um link malicioso, os usuários são direcionados para um site que imita a página de download do Teams, onde um instalador falso é oferecido. Este instalador, chamado MSTeamsSetup.exe, contém uma backdoor conhecida como Oyster, que permite acesso remoto ao computador da vítima. O malware, que foi detectado pela primeira vez em 2023, é capaz de executar comandos, transferir arquivos e baixar outros vírus. A campanha é particularmente direcionada a usuários que buscam o download do Teams, e o arquivo malicioso é assinado com certificados para parecer legítimo. A recomendação para os usuários é baixar softwares apenas de domínios verificados e evitar clicar em anúncios nos buscadores. Essa situação destaca a necessidade de vigilância constante em relação a ameaças de malvertising e envenenamento de SEO, especialmente em ambientes corporativos.

Cibercriminosos estão utilizando alegações de direitos autorais falsas, potencializadas por ferramentas de inteligência artificial, para disseminar malware em plataformas online. De acordo com uma pesquisa da Cofense Intelligence, atacantes têm enviado mensagens que imitam solicitações legítimas de remoção de conteúdo, visando pressionar as vítimas a clicarem em links que, em vez de resolver problemas de copyright, levam ao download de malware. Um ator de ameaça vietnamita, conhecido como Lone None, tem se destacado nessa prática, utilizando traduções automáticas para alcançar um público mais amplo. Os operadores embutem informações de carga maliciosa em perfis de bots do Telegram, direcionando as vítimas a arquivos hospedados em plataformas gratuitas, onde aplicativos legítimos são disfarçados junto a arquivos maliciosos. O malware, que inclui um novo tipo chamado Lone None Stealer, é projetado para roubar informações, especialmente relacionadas a criptomoedas, ao substituir endereços de carteiras por aqueles controlados pelos atacantes. Embora as campanhas atuais se concentrem em roubo de informações, a flexibilidade da infraestrutura pode permitir a entrega de ransomware em futuras iterações. A detecção pode ser facilitada por indicadores técnicos, mas a melhor defesa continua sendo a conscientização e treinamento dos usuários.

Uma nova campanha de malware, denominada EvilAI, está utilizando ferramentas de inteligência artificial (IA) aparentemente legítimas para infiltrar malware em organizações ao redor do mundo. De acordo com a Trend Micro, os ataques têm como alvo setores como manufatura, governo, saúde, tecnologia e varejo, afetando países como Índia, EUA, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá. Os atacantes se destacam por sua habilidade em disfarçar software malicioso como aplicativos de produtividade, utilizando interfaces profissionais e assinaturas digitais válidas, dificultando a identificação por usuários e ferramentas de segurança.

Pesquisadores identificaram 18 amostras distintas do Acreed, um infostealer avançado que está se tornando popular entre redes de cibercriminosos. A arquitetura do Acreed é notável por seu mecanismo inovador de recuperação de comando e controle (C2), que utiliza tanto a BNB Smartchain Testnet quanto a plataforma de jogos Steam como resolutores de dead drop. Ao embutir instruções criptografadas em transações de blockchain e chamadas legítimas da API do Steam, os atacantes garantem comunicações C2 resilientes que se misturam ao tráfego de rede benigno.

O malware TamperedChef foi identificado pela equipe de Resposta a Incidentes da Field Effect em 22 de setembro de 2025, disfarçado como utilitários legítimos, ImageLooker.exe e Calendaromatic.exe. Esses arquivos, assinados digitalmente pela CROWN SKY LLC, foram projetados para contornar as proteções do Windows, utilizando a exploração da vulnerabilidade CVE-2025-0411. Distribuídos por meio de manipulação de motores de busca e publicidade enganosa, os executáveis carregavam cargas úteis de JavaScript que interagiam com APIs do sistema, permitindo a coleta de dados sensíveis e execução de comandos.

O Olymp Loader, uma oferta de Malware-as-a-Service (MaaS) do coletivo de cibercriminosos OLYMPO, tem ganhado popularidade entre criminosos de baixo e médio nível desde seu lançamento em 5 de junho de 2025. O software, totalmente escrito em linguagem assembly e promovido como FUD (Fully UnDetectable), combina atualizações rápidas de recursos com módulos de roubo integrados e técnicas agressivas de evasão de defesa. Inicialmente concebido como um botnet, o projeto foi rebatizado e pivotou para um loader focado em capacidades de ‘crypter’, atendendo à demanda do mercado. O Olymp Loader oferece módulos de roubo de dados para navegadores, Telegram e carteiras de criptomoedas, além de técnicas de evasão que incluem a adição de si mesmo às exclusões do Windows Defender. Com preços que variam de $50 a $200, o serviço permite personalizações e exclusividades, tornando-o acessível a uma ampla gama de usuários. A evolução contínua do Olymp Loader e suas funcionalidades exigem que as defesas cibernéticas monitorem ativamente as discussões em fóruns subterrâneos e comportamentos em sandbox para mitigar essa crescente ameaça.

No dia 25 de setembro de 2025, a equipe de Detecção e Resposta Gerenciada da Conscia identificou uma campanha de malvertising sofisticada que visava comprometer sistemas corporativos através de um instalador falso do Microsoft Teams. A cadeia de infecção foi descoberta quando as regras de Redução da Superfície de Ataque (ASR) do Microsoft Defender bloquearam tráfego suspeito, levando a uma investigação forense detalhada. A campanha utilizou resultados de busca envenenados para redirecionar usuários a um domínio malicioso, onde o malware estava hospedado. O instalador, MSTeamsSetup.exe, parecia legítimo devido a uma assinatura digital válida, permitindo que o malware evitasse detecções baseadas em assinatura. Após a execução, o malware tentou estabelecer uma conexão de comando e controle, mas foi interceptado pelas regras do Defender. Para se proteger contra essa ameaça, as organizações devem implementar estratégias de detecção focadas em anomalias de certificados e comportamentos de rede, além de monitorar conexões de saída para domínios recém-registrados. Este incidente destaca a convergência de técnicas modernas de ataque, como envenenamento de SEO e abuso de certificados, exigindo uma resposta proativa das equipes de segurança.

Recentemente, os setores de telecomunicações e manufatura em países da Ásia Central e do Sul têm sido alvo de uma campanha de ciberataques que distribui uma nova variante do malware PlugX, também conhecido como Korplug ou SOGU. Pesquisadores da Cisco Talos identificaram que essa nova variante compartilha características com os backdoors RainyDay e Turian, incluindo o uso de aplicações legítimas para o carregamento de DLLs maliciosas. A configuração do PlugX, que normalmente segue um formato específico, foi alterada para se assemelhar à estrutura utilizada pelo RainyDay, um backdoor associado ao grupo de ameaças Lotus Panda, vinculado à China. Além disso, o PlugX é um Trojan de Acesso Remoto (RAT) amplamente utilizado por grupos de hackers alinhados à China, como o Mustang Panda. As evidências sugerem uma possível conexão entre os grupos Lotus Panda e BackdoorDiplomacy, ambos focados em telecomunicações e países da Ásia do Sul. Os ataques geralmente envolvem o abuso de executáveis legítimos para carregar DLLs maliciosas que, por sua vez, executam os payloads do PlugX. A análise também destaca o malware Bookworm, utilizado pelo Mustang Panda, que permite controle extenso sobre sistemas comprometidos e se disfarça em tráfego de rede normal. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente no contexto de conformidade com a LGPD no Brasil.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

Em 2025, o LummaStealer se destacou como um ladrão de informações, atacando setores como telecomunicações, saúde, bancos e marketing. Apesar de uma operação policial em maio que interrompeu suas atividades, novas variantes do malware surgiram. A análise do Netskope Threat Labs revelou que o LummaStealer utiliza técnicas avançadas de ofuscação e evasão, dificultando a detecção por métodos tradicionais. O instalador do malware se disfarça como um instalador NSIS e, ao ser descompactado, revela um script ofuscado que executa um payload em AutoIt. Este script implementa várias verificações para evitar ambientes de análise, como a verificação de variáveis de ambiente e processos de virtualização. Além disso, o LummaStealer utiliza técnicas de persistência, como a criação de atalhos na pasta de inicialização do Windows. A detecção do malware é aprimorada por um modelo de machine learning que analisa comportamentos em um ambiente isolado, permitindo identificar ameaças novas com alta confiança. Essa abordagem demonstra a eficácia da inteligência artificial na luta contra malware sofisticado.