Malware

Uma nova campanha de ciberespionagem atribuída ao grupo Mustang Panda, também conhecido como TA416, foi identificada pela IBM X-Force. Essa campanha, que visa a comunidade tibetana por motivos políticos, utiliza uma técnica refinada de DLL side-loading. O ataque começa com e-mails de phishing que contêm um arquivo ZIP malicioso, que abriga um executável disfarçado e uma biblioteca de link dinâmico (DLL) oculta. O executável, chamado ‘Voice for the Voiceless Photos.exe’, é visível, enquanto a DLL, ’libjyy.dll’, permanece oculta devido a atributos de arquivo específicos. Ao ser executado, o loader disfarçado carrega a DLL e inicia o malware Claimloader, que realiza a decriptação de strings, estabelece mecanismos de persistência e executa um shellcode adicional. O Claimloader se copia em um diretório falso para garantir sua execução contínua, enquanto o shellcode Publoader se conecta aos servidores de comando e controle do Mustang Panda. Essa campanha demonstra a sofisticação crescente do grupo e sua capacidade de evadir detecções forenses, utilizando técnicas de ocultação e criptografia de strings personalizadas.

Um novo grupo de ameaças cibernéticas, conhecido como BatShadow, originário do Vietnã, está sendo associado a uma campanha que utiliza táticas de engenharia social para enganar profissionais em busca de emprego e de marketing digital. Os atacantes se passam por recrutadores, enviando arquivos maliciosos disfarçados de descrições de trabalho e documentos corporativos. Ao serem abertos, esses arquivos iniciam uma cadeia de infecção de um malware inédito chamado Vampire Bot, desenvolvido em Go.

Uma recente campanha de malware tem comprometido sites WordPress ao injetar funções PHP maliciosas que carregam JavaScript controlado por atacantes, afetando a sessão de todos os visitantes. A violação foi identificada em um pequeno trecho de código adicionado ao arquivo functions.php do tema ativo, mostrando como pequenas modificações podem ter um grande impacto. O código injetado utiliza hooks do WordPress para ser executado em cada carregamento de página, contatando silenciosamente um servidor de comando e controle para baixar cargas maliciosas.

Uma nova campanha de malware chamada TamperedChef tem causado preocupação entre organizações europeias ao se disfarçar como um editor de PDF legítimo, o AppSuite PDF Editor. O malware, que permaneceu inativo por quase dois meses, foi ativado em 21 de agosto de 2025, e começou a roubar credenciais de navegadores, permitindo a instalação de backdoors. O ataque começou com anúncios em motores de busca que redirecionavam usuários para domínios controlados pelos atacantes, onde um pacote de instalação malicioso era oferecido. Após a instalação, o malware se escondia sob a aparência de um editor de PDF, enquanto coletava informações sensíveis armazenadas em navegadores como Chrome, Firefox e Edge. Os atacantes também lançaram atualizações do aplicativo que removiam a lógica maliciosa visível, mas mantinham conexões com a infraestrutura controlada por eles. Além disso, uma variante chamada S3-Forge está sendo testada, indicando uma evolução nas táticas de distribuição. Para mitigar os riscos, as organizações devem proibir instalações de anúncios não confiáveis, implementar listas de permissões rigorosas e monitorar atividades suspeitas em aplicações Electron.

Um novo Trojan de Acesso Remoto (RAT) para Android, anunciado como totalmente indetectável, foi encontrado publicamente no GitHub, levantando sérias preocupações entre pesquisadores de cibersegurança. Este RAT é projetado para contornar restrições de permissões e processos em segundo plano, especialmente em ROMs chinesas como MIUI e EMUI, representando uma das ameaças mais sofisticadas já observadas no Android.

O malware utiliza um dropper de múltiplas camadas que insere seu payload em aplicativos Android legítimos, permitindo que usuários desavisados instalem APKs comprometidos. Uma vez instalado, o RAT consegue escalar silenciosamente suas permissões, neutralizando o modelo de permissões do usuário. Com comunicação criptografada e técnicas de evasão, ele se torna quase invisível para softwares antivírus.

Pesquisadores em cibersegurança analisaram a evolução do malware XWorm, que se tornou uma ferramenta versátil para diversas ações maliciosas em sistemas comprometidos. Com um design modular, XWorm é composto por um cliente central e plugins especializados que executam ações específicas, como roubo de dados, keylogging e operações de ransomware. Desde sua primeira observação em 2022, o malware, associado ao ator de ameaças EvilCoder, tem se espalhado principalmente por e-mails de phishing e sites fraudulentos. Recentemente, novas variantes, como o XWorm 6.0, foram identificadas, oferecendo funcionalidades adicionais e utilizando arquivos JavaScript maliciosos para injetar o malware em processos legítimos do Windows. A modularidade do XWorm permite que comandos sejam enviados de servidores externos, facilitando ações como ataques DDoS e manipulação de arquivos. Apesar de um aparente abandono por parte de seu desenvolvedor original, o malware continua a ser distribuído e atualizado, destacando a necessidade de medidas de segurança robustas para enfrentar essas ameaças em constante evolução.

Pesquisadores da Elastic Security Labs identificaram melhorias significativas no malware WARMCOOKIE, que evoluiu de uma ferramenta básica de reconhecimento para uma plataforma sofisticada de entrega de payloads. As novas variantes introduzem quatro manipuladores de comando que ampliam a flexibilidade operacional dos atacantes em sistemas comprometidos, incluindo execução de arquivos PE, DLL e scripts PowerShell. Essa abordagem utiliza processos legítimos do Windows, como rundll32.exe, dificultando a detecção. Além disso, um sistema inovador de “string bank” foi implementado para evitar sistemas de detecção comportamental, selecionando dinamicamente nomes de empresas reais para caminhos de pastas e tarefas agendadas. A análise da infraestrutura revela padrões de persistência preocupantes, com os operadores utilizando um certificado SSL padrão em múltiplos servidores de comando e controle, mesmo após sua expiração. Apesar de esforços de desmantelamento, como a Operação Endgame da Europol, o WARMCOOKIE continua a ser distribuído ativamente por meio de campanhas de malvertising e spam, evidenciando a resiliência dos operadores.

Pesquisadores da SpyCloud Labs realizaram uma análise detalhada do Asgard Protector, um sofisticado crypter de malware frequentemente associado ao infostealer LummaC2. A pesquisa revelou que o Asgard utiliza um processo de instalação em múltiplas etapas, disfarçando sua verdadeira intenção ao se apresentar como instaladores de software legítimos. O malware é distribuído em pacotes NSIS, que extraem scripts maliciosos em diretórios temporários do Windows, utilizando extensões de arquivo enganosas para confundir ferramentas de análise automatizadas.

Pesquisadores da Infoblox revelaram uma campanha de malware chamada DetourDog, que comprometeu mais de 30.000 sites sem que os usuários percebessem. O ataque se aproveitou de servidores desprotegidos, utilizando um malware que redireciona visitantes para sites maliciosos. As requisições de DNS são feitas pelo próprio site comprometido, tornando o ataque invisível para as vítimas. Os usuários são redirecionados para sites que hospedam um infostealer conhecido como Strela Stealer, que rouba credenciais de diversas fontes, incluindo e-mails. O Strela Stealer, que evoluiu desde sua primeira identificação em 2022, se comunica com servidores de comando e controle para coletar dados e receber atualizações. Embora a Infoblox não tenha atribuído o ataque a um grupo específico, a origem pode estar relacionada a países do leste europeu, dado o significado da palavra ‘Strela’. As organizações são aconselhadas a auditar suas configurações de DNS e monitorar tráfego incomum para se protegerem contra esse tipo de ameaça.

Pesquisadores de cibersegurança identificaram um grupo de cibercrime de língua chinesa, codinome UAT-8099, que se especializa em fraudes de otimização para motores de busca (SEO) e roubo de credenciais valiosas, arquivos de configuração e dados de certificados. Os ataques têm como alvo servidores Microsoft Internet Information Services (IIS), com infecções relatadas principalmente na Índia, Tailândia, Vietnã, Canadá e Brasil, afetando universidades, empresas de tecnologia e provedores de telecomunicações. O grupo, descoberto em abril de 2025, foca em usuários móveis, tanto de dispositivos Android quanto de iPhones. UAT-8099 manipula rankings de busca utilizando ferramentas como Cobalt Strike e malware BadIIS, além de scripts automatizados que evitam detecções. Após comprometer um servidor IIS vulnerável, o grupo utiliza shells web para realizar reconhecimento e escalar privilégios, habilitando o Protocolo de Área de Trabalho Remota (RDP) para acessar dados valiosos. O malware BadIIS, uma variante que evita a detecção por antivírus, opera em três modos, incluindo a manipulação de backlinks para aumentar a visibilidade de sites. A situação é preocupante, pois o grupo já comprometeu um número indeterminado de servidores, e suas táticas podem impactar significativamente a segurança digital no Brasil.

Em 4 de junho de 2025, pesquisadores de cibersegurança identificaram as primeiras implantações ativas da variante XWorm V6.0, que representa o retorno inesperado da infame família de RATs modulares. Esta nova variante mantém a arquitetura central de seu predecessor, mas incorpora melhorias para contornar a detecção por antivírus e aumentar a persistência. Os atacantes estão distribuindo o XWorm V6 por meio de campanhas de phishing, utilizando dropers de JavaScript maliciosos que se conectam silenciosamente a scripts PowerShell antes de entregar um DLL injetor.

O malware Rhadamanthys, promovido por um ator de ameaças conhecido como kingcrete2022, se destaca como um dos principais ladrões de informações disponíveis sob o modelo de malware-as-a-service (MaaS). Com a versão 0.9.2, o software agora coleta impressões digitais de dispositivos e navegadores, ampliando suas capacidades além da simples coleta de dados. A Check Point revelou que os desenvolvedores rebranding como ‘RHAD security’ e ‘Mythical Origin Labs’ estão oferecendo pacotes que variam de $299 a $499 por mês, indicando uma profissionalização do serviço. A nova versão inclui recursos para evitar a detecção, como alertas que permitem a execução do malware sem danos ao sistema. Além disso, o malware utiliza técnicas de esteganografia para ocultar seu payload, que é extraído e executado após uma série de verificações para evitar ambientes de sandbox. A evolução do Rhadamanthys, com a adição de um runner Lua para plugins, representa uma ameaça crescente à segurança pessoal e corporativa, exigindo atenção contínua dos profissionais de segurança.

O grupo de ameaças conhecido como Detour Dog foi identificado como responsável pela distribuição de um malware chamado Strela Stealer, que atua como um ladrão de informações. A análise da Infoblox revelou que Detour Dog controla domínios que hospedam a primeira fase do malware, um backdoor chamado StarFish. Desde agosto de 2023, a Infoblox vem monitorando as atividades do grupo, que inicialmente se concentrava em redirecionar tráfego de sites WordPress para páginas maliciosas. O malware evoluiu para executar conteúdo remoto através de um sistema de comando e controle baseado em DNS.

Uma campanha de malware chamada SORVEPOTEL foi identificada como uma ameaça significativa, visando ambientes Windows ao explorar sessões comprometidas do WhatsApp. A pesquisa indica que 457 das 477 infecções confirmadas estão concentradas no Brasil, com um foco particular em empresas e organizações públicas. O vetor inicial de infecção é um phishing convincente, enviado via WhatsApp ou e-mail, que contém um arquivo ZIP disfarçado de documento inofensivo. Ao ser aberto, o arquivo revela um atalho malicioso que executa um comando PowerShell ofuscado, baixando e executando scripts adicionais de domínios controlados pelos atacantes.

O GhostSocks é um novo serviço de Malware-as-a-Service (MaaS) que ganhou destaque entre cibercriminosos, permitindo que dispositivos comprometidos operem como proxies residenciais. Lançado em 15 de outubro de 2023 em um fórum russo, o GhostSocks utiliza endereços IP legítimos para redirecionar tráfego fraudulento, burlando sistemas de segurança e controle anti-fraude. A facilidade de uso e a integração com outros frameworks de malware tornaram o GhostSocks popular tanto entre fraudadores iniciantes quanto entre grupos de ransomware mais sofisticados.

Um grupo de cibercriminosos, conhecido como Cavalry Werewolf, está atacando o setor público da Rússia utilizando malwares como FoalShell e StallionRAT. A empresa de cibersegurança BI.ZONE identificou que os atacantes enviaram e-mails de phishing disfarçados de correspondências oficiais de funcionários do governo do Quirguistão. Os principais alvos incluem agências estatais russas e empresas dos setores de energia, mineração e manufatura. Os ataques, que ocorreram entre maio e agosto de 2025, envolveram o uso de endereços de e-mail falsos e, em alguns casos, até endereços legítimos comprometidos. O FoalShell permite que os operadores executem comandos arbitrários, enquanto o StallionRAT, que também é capaz de exfiltrar dados via bot do Telegram, oferece funcionalidades semelhantes. A análise sugere que o grupo pode ter vínculos com o Cazaquistão, reforçando a hipótese de que se trata de um ator de ameaça associado a essa região. A crescente atividade de Cavalry Werewolf destaca a necessidade de vigilância constante e atualização das medidas de segurança para prevenir tais ataques.

Um novo malware autônomo, denominado SORVEPOTEL, está atacando usuários brasileiros através do WhatsApp, conforme relatado pela Trend Micro. Este malware se propaga rapidamente entre sistemas Windows, utilizando mensagens de phishing convincentes que contêm anexos ZIP maliciosos. Os pesquisadores observaram que a maioria das infecções ocorreu em setores como governo, serviços públicos, tecnologia e educação, com 457 dos 477 casos registrados no Brasil. O ataque começa com uma mensagem de phishing enviada de um contato comprometido, que inclui um arquivo ZIP disfarçado de recibo ou arquivo relacionado a aplicativos de saúde. Ao abrir o anexo, o usuário é levado a executar um arquivo de atalho do Windows que ativa um script PowerShell, baixando o payload principal de um servidor externo. O malware, uma vez instalado, se propaga automaticamente através do WhatsApp Web, enviando o arquivo ZIP para todos os contatos do usuário infectado, resultando em um grande volume de mensagens de spam e, frequentemente, na suspensão das contas. Embora o SORVEPOTEL não tenha mostrado interesse em roubo de dados ou ransomware, sua capacidade de se espalhar rapidamente representa uma ameaça significativa para empresas e usuários no Brasil.

O grupo de ciberespionagem Confucius tem intensificado suas atividades, utilizando documentos maliciosos para atacar sistemas Windows. Em uma campanha de phishing direcionada a entidades governamentais do Paquistão, o grupo lançou um arquivo PowerPoint infectado que, ao ser aberto, baixava um malware chamado AnonDoor. Este malware, baseado em Python, permite acesso persistente aos sistemas comprometidos. O ataque começa com um arquivo .ppsx que, ao ser executado, carrega um script VB que baixa um payload malicioso. O AnonDoor é um backdoor que coleta informações do sistema e permite a execução de comandos remotos, incluindo captura de tela e extração de senhas de navegadores. A transição do grupo de ferramentas simples para backdoors mais sofisticados indica uma estratégia de evasão e flexibilidade. Organizações devem implementar filtros de e-mail rigorosos e monitorar a criação de tarefas agendadas para se proteger contra essas ameaças.

Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório Python Package Index (PyPI) chamado ‘soopsocks’, que prometia criar um serviço de proxy SOCKS5, mas na verdade funcionava como um backdoor para instalar cargas adicionais em sistemas Windows. O pacote, que foi baixado 2.653 vezes antes de ser removido, foi carregado por um usuário que criou a conta no mesmo dia. A análise da JFrog revelou que o pacote utilizava um executável (’_AUTORUN.EXE’) que, além de implementar o SOCKS5, executava scripts PowerShell, configurava regras de firewall e se relançava com permissões elevadas. O pacote também realizava reconhecimento do sistema e exfiltrava informações para um webhook do Discord. O script Visual Basic (’_AUTORUN.VBS’) presente nas versões 0.2.5 e 0.2.6 do pacote também era capaz de baixar um arquivo ZIP com um binário Python legítimo, instalando-o de forma automatizada. A situação ocorre em um contexto de crescente preocupação com a segurança da cadeia de suprimentos de software, levando a mudanças nas políticas de tokens de acesso no GitHub e ao lançamento de ferramentas como o Socket Firewall, que visa bloquear pacotes maliciosos durante a instalação.

O grupo de hackers conhecido como Confucius está por trás de uma nova campanha de phishing que visa o Paquistão, utilizando malwares como WooperStealer e Anondoor. Desde 2013, esse grupo tem se especializado em atacar agências governamentais, organizações militares e indústrias críticas na região, empregando técnicas de spear-phishing e documentos maliciosos para obter acesso inicial. Recentemente, foram documentadas várias cadeias de ataque, incluindo uma em dezembro de 2024, onde um arquivo .PPSX enganou os usuários a abrir um arquivo que entregava o WooperStealer através de técnicas de DLL side-loading. Em março de 2025, outra onda de ataques utilizou arquivos de atalho do Windows (.LNK) para liberar o mesmo malware. Em agosto de 2025, um novo arquivo .LNK foi identificado, que introduziu o Anondoor, um backdoor em Python projetado para exfiltrar informações do dispositivo e executar comandos. O grupo tem mostrado uma forte adaptabilidade, utilizando técnicas de ofuscação para evitar detecções e ajustando suas ferramentas conforme as prioridades de coleta de inteligência mudam. Essa evolução nas táticas do Confucius destaca a persistência e a eficácia operacional do grupo, que continua a representar uma ameaça significativa na região.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

Um estudo da Trend Micro revelou que malwares estão se disfarçando como ferramentas de inteligência artificial para infectar empresas em diversas regiões do mundo, incluindo Brasil, Estados Unidos, França e Índia. O malware mais destacado na pesquisa é o EvilAI, que imita softwares legítimos, dificultando a detecção por parte dos usuários. Os alvos principais incluem indústrias, agências governamentais e setores de saúde e tecnologia. Os hackers utilizam certificados válidos de empresas descartáveis para aumentar a credibilidade dos programas maliciosos. Uma vez instalados, esses malwares conseguem extrair dados sensíveis dos navegadores das vítimas e enviá-los para servidores controlados pelos criminosos. A distribuição ocorre por meio de anúncios falsos, sites de venda fraudulentos e manipulação de SEO. A situação é alarmante, pois a popularidade das ferramentas de IA está sendo explorada para enganar usuários, e a criação de mercados de malware na dark web facilita ainda mais esses ataques. Especialistas alertam que a tendência pode se intensificar, exigindo atenção redobrada das empresas em relação à segurança cibernética.

Uma nova técnica de rootkit chamada FlipSwitch foi descoberta, permitindo que atacantes contornem as melhorias de segurança do kernel Linux 6.9. Essa técnica representa um retrocesso na proteção do sistema, pois os invasores agora visam a lógica do novo despachante de chamadas do kernel, em vez de sobrescrever a tabela de chamadas de sistema, uma abordagem que se tornou obsoleta. O FlipSwitch funciona ao localizar e reescrever o código de máquina do próprio kernel dentro do despachante de chamadas do sistema, redirecionando a execução para manipuladores maliciosos. Essa técnica é reversível, permitindo que os atacantes removam vestígios de sua presença. A detecção de rootkits de kernel é desafiadora, mas pesquisadores lançaram uma assinatura YARA para identificar o FlipSwitch, tanto em disco quanto na memória. Essa evolução nas técnicas de ataque destaca a constante luta entre o endurecimento do Linux e a adaptação dos invasores, mostrando que o progresso defensivo não elimina a ameaça, mas muda suas regras.

Recentemente, a equipe de pesquisa de segurança da Frog revelou um pacote no PyPI chamado SoopSocks, que se disfarçava como um instalador simples de proxy SOCKS5, mas incorporava funcionalidades de backdoor em sistemas Windows. O pacote, que prometia criar serviços SOCKS5 e relatar dados via webhooks do Discord, foi retirado do PyPI em 29 de setembro após a divulgação de seu comportamento suspeito. As versões iniciais implementavam um servidor SOCKS5 básico, mas atualizações posteriores introduziram um executável compilado em Go, chamado autorun.exe, que se instalava como um serviço do Windows. O instalador executa rotinas silenciosas, eleva privilégios e garante persistência no sistema. O SoopSocks escuta na porta 1080 sem autenticação, permitindo o encaminhamento de tráfego TCP e UDP, enquanto coleta dados de rede e os envia a um webhook do Discord a cada 30 segundos. Os indicadores de comprometimento incluem o binário autorun.exe, o serviço SoopSocksSvc e regras de firewall para a porta 1080. A ameaça representa um alto risco para redes corporativas, exigindo ações imediatas de remediação, como isolamento de hosts infectados e bloqueio de conexões ao webhook do Discord.

Cibercriminosos têm utilizado campanhas de engenharia social sofisticadas para atacar idosos em diversos países, incluindo Brasil, através de grupos falsos no Facebook que promovem viagens para a terceira idade. O malware, conhecido como Datzbro, é um trojan bancário que se aproveita de serviços de acessibilidade do Android para realizar operações de controle remoto do dispositivo da vítima. Os criminosos atraem os usuários com conteúdos aparentemente legítimos sobre atividades sociais e, ao demonstrar interesse, enviam links maliciosos via Facebook Messenger ou WhatsApp.

Cibercriminosos estão intensificando suas táticas ao abusar de certificados de assinatura de código de Validação Estendida (EV) para evitar detecções de segurança no macOS. Uma nova campanha associada à família de malware Odyssey Stealer foi identificada, utilizando certificados de ID de desenvolvedor da Apple fraudulentamente emitidos, permitindo a distribuição de DMGs que passam despercebidos por verificações de segurança. Pesquisadores descobriram um arquivo DMG malicioso assinado com um certificado de ID de desenvolvedor suspeito, vinculado a um nome fabricado, ‘THOMAS BOULAY DUVAL’. O malware, uma vez executado, baixa um payload malicioso que exfiltra dados sensíveis, como credenciais de navegador e informações de carteiras de criptomoedas. O uso de certificados EV, que são caros e requerem validação rigorosa, permite que os atacantes distribuam malware que parece ser um aplicativo legítimo do macOS, contornando as verificações do Gatekeeper e ganhando a confiança do usuário. Embora o processo de revogação de assinatura de código da Apple ajude a mitigar esse abuso, o tempo entre a descoberta e a revogação oferece uma janela operacional valiosa para os atacantes. Essa campanha destaca a determinação dos cibercriminosos em minar os mecanismos de segurança baseados em confiança tanto no ecossistema Windows quanto no macOS.

A campanha ‘Detour Dog’, um ator de ameaças ativo desde fevereiro de 2020, lançou uma nova estratégia inovadora para distribuir o malware Strela Stealer. Utilizando consultas de registros DNS TXT, a campanha consegue redirecionar visitantes de sites comprometidos e entregar malware em múltiplas etapas, afetando dezenas de milhares de sites ao redor do mundo. Essa abordagem permite que o Detour Dog evite a detecção e mantenha controle sobre a infraestrutura infectada.

O Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta sobre novos ataques cibernéticos direcionados no país, utilizando um backdoor denominado CABINETRAT. A atividade, atribuída ao grupo de ameaças UAC-0245, foi detectada em setembro de 2025, após a descoberta de arquivos XLL, que são complementos do Microsoft Excel. Esses arquivos estão sendo distribuídos em arquivos ZIP pelo aplicativo de mensagens Signal, disfarçados como documentos relacionados à detenção de indivíduos na fronteira ucraniana.

Um novo trojan bancário para Android, chamado Klopatra, foi descoberto e já comprometeu mais de 3.000 dispositivos, principalmente na Espanha e na Itália. Identificado pela empresa italiana Cleafy, o malware utiliza uma técnica avançada de controle remoto chamada VNC (Virtual Network Computing) e sobreposições dinâmicas para roubo de credenciais, facilitando transações fraudulentas. Os pesquisadores destacam que Klopatra representa uma evolução significativa na sofisticação do malware móvel, utilizando bibliotecas nativas e uma ferramenta de proteção de código comercial chamada Virbox, o que dificulta sua detecção.

Pesquisadores da Bitdefender identificaram uma campanha de hackers que, desde 2024, utiliza canais verificados no YouTube para disseminar malware. Inicialmente, o golpe começou com anúncios no Facebook, prometendo acesso gratuito à versão premium da plataforma de trading TradingView. Recentemente, os criminosos invadiram a conta de um anunciante de uma agência de design na Noruega, substituindo o conteúdo do canal por uma identidade visual que imitava a TradingView, o que conferiu legitimidade ao golpe.

Um novo ataque de phishing está disseminando o trojan de acesso remoto XWorm, conforme análise da Forcepoint X-Labs. Os e-mails maliciosos, enviados em espanhol com o assunto ‘Facturas pendientes de pago’, contêm anexos com a extensão .xlam. Ao serem abertos, esses arquivos podem parecer vazios, mas já iniciam a infecção no computador da vítima. O XWorm utiliza um dropper chamado oleObject1.bin, que baixa um executável malicioso (UXO.exe) de um servidor específico. Este executável instala uma DLL (DriverFixPro.dll) que opera diretamente na memória, evitando a detecção por antivírus. Desde janeiro, cerca de 18.459 dispositivos foram comprometidos, com o malware roubando senhas e tokens de contas, incluindo do Discord. Para se proteger, é essencial estar atento a anexos suspeitos e manter sistemas e aplicativos de segurança atualizados.

Um novo grupo de ameaças persistentes avançadas (APT) alinhado ao Estado chinês, denominado Phantom Taurus, foi identificado após três anos de monitoramento pela Palo Alto Networks. Este grupo tem como alvo principal entidades governamentais e provedores de telecomunicações na África, Oriente Médio e Ásia, e está vinculado a operações de espionagem de longo prazo que apoiam os interesses geopolíticos da República Popular da China.

O Phantom Taurus se destaca por sua combinação de técnicas de infiltração discretas e malware personalizado. Em 2025, o grupo alterou suas táticas, passando de ataques de exfiltração de e-mails para o direcionamento direto de bancos de dados sensíveis. O núcleo de suas operações é a suíte de malware NET-STAR, que inclui backdoors projetados para infectar servidores web Microsoft IIS. O malware utiliza técnicas avançadas de evasão e execução sem arquivos, dificultando a detecção por defesas tradicionais.

Pesquisadores de cibersegurança identificaram um novo trojan bancário para Android, chamado Datzbro, que realiza ataques de tomada de controle de dispositivos e transações fraudulentas, especialmente visando idosos. A empresa ThreatFabric, da Holanda, descobriu a campanha em agosto de 2025, após relatos de usuários na Austrália sobre golpistas que gerenciavam grupos no Facebook promovendo ‘viagens ativas para idosos’. Os criminosos também atuaram em países como Singapura, Malásia, Canadá, África do Sul e Reino Unido.

Uma nova campanha de cibersegurança identificada pela Blackpoint SOC revela que hackers estão explorando o Microsoft Teams para disseminar malware. Utilizando técnicas de envenenamento de SEO e anúncios patrocinados, os criminosos atraem usuários que buscam baixar o aplicativo oficial. Ao clicar em um link malicioso, os usuários são direcionados para um site que imita a página de download do Teams, onde um instalador falso é oferecido. Este instalador, chamado MSTeamsSetup.exe, contém uma backdoor conhecida como Oyster, que permite acesso remoto ao computador da vítima. O malware, que foi detectado pela primeira vez em 2023, é capaz de executar comandos, transferir arquivos e baixar outros vírus. A campanha é particularmente direcionada a usuários que buscam o download do Teams, e o arquivo malicioso é assinado com certificados para parecer legítimo. A recomendação para os usuários é baixar softwares apenas de domínios verificados e evitar clicar em anúncios nos buscadores. Essa situação destaca a necessidade de vigilância constante em relação a ameaças de malvertising e envenenamento de SEO, especialmente em ambientes corporativos.

Cibercriminosos estão utilizando alegações de direitos autorais falsas, potencializadas por ferramentas de inteligência artificial, para disseminar malware em plataformas online. De acordo com uma pesquisa da Cofense Intelligence, atacantes têm enviado mensagens que imitam solicitações legítimas de remoção de conteúdo, visando pressionar as vítimas a clicarem em links que, em vez de resolver problemas de copyright, levam ao download de malware. Um ator de ameaça vietnamita, conhecido como Lone None, tem se destacado nessa prática, utilizando traduções automáticas para alcançar um público mais amplo. Os operadores embutem informações de carga maliciosa em perfis de bots do Telegram, direcionando as vítimas a arquivos hospedados em plataformas gratuitas, onde aplicativos legítimos são disfarçados junto a arquivos maliciosos. O malware, que inclui um novo tipo chamado Lone None Stealer, é projetado para roubar informações, especialmente relacionadas a criptomoedas, ao substituir endereços de carteiras por aqueles controlados pelos atacantes. Embora as campanhas atuais se concentrem em roubo de informações, a flexibilidade da infraestrutura pode permitir a entrega de ransomware em futuras iterações. A detecção pode ser facilitada por indicadores técnicos, mas a melhor defesa continua sendo a conscientização e treinamento dos usuários.

Uma nova campanha de malware, denominada EvilAI, está utilizando ferramentas de inteligência artificial (IA) aparentemente legítimas para infiltrar malware em organizações ao redor do mundo. De acordo com a Trend Micro, os ataques têm como alvo setores como manufatura, governo, saúde, tecnologia e varejo, afetando países como Índia, EUA, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá. Os atacantes se destacam por sua habilidade em disfarçar software malicioso como aplicativos de produtividade, utilizando interfaces profissionais e assinaturas digitais válidas, dificultando a identificação por usuários e ferramentas de segurança.

Pesquisadores identificaram 18 amostras distintas do Acreed, um infostealer avançado que está se tornando popular entre redes de cibercriminosos. A arquitetura do Acreed é notável por seu mecanismo inovador de recuperação de comando e controle (C2), que utiliza tanto a BNB Smartchain Testnet quanto a plataforma de jogos Steam como resolutores de dead drop. Ao embutir instruções criptografadas em transações de blockchain e chamadas legítimas da API do Steam, os atacantes garantem comunicações C2 resilientes que se misturam ao tráfego de rede benigno.

O malware TamperedChef foi identificado pela equipe de Resposta a Incidentes da Field Effect em 22 de setembro de 2025, disfarçado como utilitários legítimos, ImageLooker.exe e Calendaromatic.exe. Esses arquivos, assinados digitalmente pela CROWN SKY LLC, foram projetados para contornar as proteções do Windows, utilizando a exploração da vulnerabilidade CVE-2025-0411. Distribuídos por meio de manipulação de motores de busca e publicidade enganosa, os executáveis carregavam cargas úteis de JavaScript que interagiam com APIs do sistema, permitindo a coleta de dados sensíveis e execução de comandos.

O Olymp Loader, uma oferta de Malware-as-a-Service (MaaS) do coletivo de cibercriminosos OLYMPO, tem ganhado popularidade entre criminosos de baixo e médio nível desde seu lançamento em 5 de junho de 2025. O software, totalmente escrito em linguagem assembly e promovido como FUD (Fully UnDetectable), combina atualizações rápidas de recursos com módulos de roubo integrados e técnicas agressivas de evasão de defesa. Inicialmente concebido como um botnet, o projeto foi rebatizado e pivotou para um loader focado em capacidades de ‘crypter’, atendendo à demanda do mercado. O Olymp Loader oferece módulos de roubo de dados para navegadores, Telegram e carteiras de criptomoedas, além de técnicas de evasão que incluem a adição de si mesmo às exclusões do Windows Defender. Com preços que variam de $50 a $200, o serviço permite personalizações e exclusividades, tornando-o acessível a uma ampla gama de usuários. A evolução contínua do Olymp Loader e suas funcionalidades exigem que as defesas cibernéticas monitorem ativamente as discussões em fóruns subterrâneos e comportamentos em sandbox para mitigar essa crescente ameaça.

No dia 25 de setembro de 2025, a equipe de Detecção e Resposta Gerenciada da Conscia identificou uma campanha de malvertising sofisticada que visava comprometer sistemas corporativos através de um instalador falso do Microsoft Teams. A cadeia de infecção foi descoberta quando as regras de Redução da Superfície de Ataque (ASR) do Microsoft Defender bloquearam tráfego suspeito, levando a uma investigação forense detalhada. A campanha utilizou resultados de busca envenenados para redirecionar usuários a um domínio malicioso, onde o malware estava hospedado. O instalador, MSTeamsSetup.exe, parecia legítimo devido a uma assinatura digital válida, permitindo que o malware evitasse detecções baseadas em assinatura. Após a execução, o malware tentou estabelecer uma conexão de comando e controle, mas foi interceptado pelas regras do Defender. Para se proteger contra essa ameaça, as organizações devem implementar estratégias de detecção focadas em anomalias de certificados e comportamentos de rede, além de monitorar conexões de saída para domínios recém-registrados. Este incidente destaca a convergência de técnicas modernas de ataque, como envenenamento de SEO e abuso de certificados, exigindo uma resposta proativa das equipes de segurança.

Recentemente, os setores de telecomunicações e manufatura em países da Ásia Central e do Sul têm sido alvo de uma campanha de ciberataques que distribui uma nova variante do malware PlugX, também conhecido como Korplug ou SOGU. Pesquisadores da Cisco Talos identificaram que essa nova variante compartilha características com os backdoors RainyDay e Turian, incluindo o uso de aplicações legítimas para o carregamento de DLLs maliciosas. A configuração do PlugX, que normalmente segue um formato específico, foi alterada para se assemelhar à estrutura utilizada pelo RainyDay, um backdoor associado ao grupo de ameaças Lotus Panda, vinculado à China. Além disso, o PlugX é um Trojan de Acesso Remoto (RAT) amplamente utilizado por grupos de hackers alinhados à China, como o Mustang Panda. As evidências sugerem uma possível conexão entre os grupos Lotus Panda e BackdoorDiplomacy, ambos focados em telecomunicações e países da Ásia do Sul. Os ataques geralmente envolvem o abuso de executáveis legítimos para carregar DLLs maliciosas que, por sua vez, executam os payloads do PlugX. A análise também destaca o malware Bookworm, utilizado pelo Mustang Panda, que permite controle extenso sobre sistemas comprometidos e se disfarça em tráfego de rede normal. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente no contexto de conformidade com a LGPD no Brasil.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

Em 2025, o LummaStealer se destacou como um ladrão de informações, atacando setores como telecomunicações, saúde, bancos e marketing. Apesar de uma operação policial em maio que interrompeu suas atividades, novas variantes do malware surgiram. A análise do Netskope Threat Labs revelou que o LummaStealer utiliza técnicas avançadas de ofuscação e evasão, dificultando a detecção por métodos tradicionais. O instalador do malware se disfarça como um instalador NSIS e, ao ser descompactado, revela um script ofuscado que executa um payload em AutoIt. Este script implementa várias verificações para evitar ambientes de análise, como a verificação de variáveis de ambiente e processos de virtualização. Além disso, o LummaStealer utiliza técnicas de persistência, como a criação de atalhos na pasta de inicialização do Windows. A detecção do malware é aprimorada por um modelo de machine learning que analisa comportamentos em um ambiente isolado, permitindo identificar ameaças novas com alta confiança. Essa abordagem demonstra a eficácia da inteligência artificial na luta contra malware sofisticado.

Uma nova campanha de botnet, classificada como Loader-as-a-Service, tem se mostrado altamente eficaz na exploração de roteadores SOHO e dispositivos IoT, aumentando em 230% entre julho e agosto de 2025. A pesquisa da CloudSEK revelou que atacantes estão utilizando logs de comando e controle expostos para automatizar a injeção de comandos e entrega de payloads, como o Mirai. Os atacantes exploram parâmetros POST não sanitizados em interfaces de gerenciamento web, testando credenciais padrão e realizando injeções de comandos. Uma vez que o acesso é obtido, os dispositivos são mapeados para coleta de informações, como endereços MAC e versões de firmware, permitindo a instalação de binários maliciosos para recrutamento em DDoS ou mineração de criptomoedas. A campanha também se aproveita de CVEs conhecidos em pilhas empresariais, como falhas no Oracle WebLogic e vulnerabilidades em plugins do WordPress. A recomendação é implementar filtragem de saída para bloquear tráfego malicioso e reforçar a segurança das interfaces web expostas. A segmentação de redes IoT e a aplicação de patches de firmware são essenciais para mitigar os riscos associados a essa ameaça emergente.

Em setembro de 2025, a Zscaler ThreatLabz revelou uma campanha cibernética sofisticada chamada ClickFix, atribuída ao grupo APT COLDRIVER, vinculado à Rússia. A campanha visa membros da sociedade civil russa, utilizando engenharia social e malware leve para roubo de documentos e acesso persistente. O ataque começa em uma página maliciosa que se disfarça de centro de informações para ONGs e defensores dos direitos humanos. Os visitantes são induzidos a clicar em uma caixa de verificação falsa do Cloudflare, que copia um comando malicioso para a área de transferência. Ao executar o comando, o malware BAITSWITCH é carregado, permitindo que o invasor estabeleça uma conexão com o servidor de comando e controle (C2).

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

O National Cyber Security Centre (NCSC) alertou sobre uma campanha de malware persistente que ataca dispositivos da série Cisco ASA 5500-X, utilizando uma vulnerabilidade 0-day para implantar os malwares RayInitiator e LINE VIPER. Esses malwares permitem execução remota de comandos, acesso persistente e possível exfiltração de dados. A Cisco confirmou que o mesmo ator de ameaça, identificado anteriormente, está explorando novas falhas nos dispositivos ASA para obter acesso root e implantar cargas úteis personalizadas. O NCSC recomenda que as organizações afetadas apliquem atualizações de segurança, auditem logs de dispositivos e isolem sistemas com comportamentos anômalos. A falha afeta versões específicas do firmware e é explorada através de pacotes de rede especialmente elaborados que contornam controles de autenticação. O NCSC também enfatiza a importância de substituir ou atualizar unidades obsoletas, pois dispositivos sem suporte representam riscos significativos de segurança. A análise detalhada do malware, incluindo assinaturas e padrões de rede, está disponível no relatório do NCSC, que também sugere práticas recomendadas para gerenciar hardware obsoleto.

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) alertou sobre a exploração de falhas de segurança em firewalls da Cisco, resultando em ataques de dia zero que implantaram malwares como RayInitiator e LINE VIPER. Esses malwares são considerados mais sofisticados do que os utilizados em campanhas anteriores, apresentando técnicas avançadas de evasão. A Cisco iniciou investigações em maio de 2025, após ataques a agências governamentais, que visavam dispositivos da série Adaptive Security Appliance (ASA) 5500-X. Os atacantes exploraram vulnerabilidades críticas, como CVE-2025-20333, com um CVSS de 9.9, para contornar autenticações e executar códigos maliciosos. Além disso, modificações no ROMMON foram detectadas, permitindo persistência após reinicializações. A campanha está ligada ao grupo de hackers UAT4356, supostamente vinculado ao governo chinês. A Cisco também corrigiu uma falha crítica (CVE-2025-20363) que poderia permitir a execução de código arbitrário. O Centro Canadense de Cibersegurança recomendou que organizações atualizassem seus sistemas imediatamente para mitigar os riscos.

Pesquisadores em cibersegurança identificaram uma versão atualizada do malware XCSSET, que tem sido observado em ataques limitados. De acordo com um relatório da equipe de Inteligência de Ameaças da Microsoft, essa nova variante apresenta mudanças significativas no direcionamento a navegadores, sequestro de clipboard e mecanismos de persistência. O malware utiliza técnicas sofisticadas de criptografia e ofuscação, além de scripts AppleScript compilados para execução discreta. A exfiltração de dados foi ampliada para incluir informações do navegador Firefox. O XCSSET é um malware modular projetado para infectar projetos do Xcode, utilizados por desenvolvedores de software, e sua distribuição ainda não está clara, mas suspeita-se que ocorra através de arquivos de projeto compartilhados. A nova versão inclui um submódulo que monitora o conteúdo da área de transferência em busca de padrões de endereços de carteiras de criptomoedas, substituindo-os por endereços controlados por atacantes. Para mitigar essa ameaça, recomenda-se que os usuários mantenham seus sistemas atualizados e tenham cautela ao copiar dados sensíveis.