Malware

O malware conhecido como noodlophile está se tornando cada vez mais sofisticado em suas táticas de infecção, utilizando e-mails de notificação do Facebook para enganar usuários. Essa técnica, chamada spear-phishing, se baseia em engenharia social para criar mensagens que parecem extremamente legítimas. O objetivo principal do noodlophile é roubar informações armazenadas nos navegadores, incluindo cookies, histórico de navegação e senhas de serviços online. A fraude se apresenta como uma notificação de violação de direitos autorais, imitando nomes de empresas e IDs de páginas que o usuário administra, o que aumenta a credibilidade do golpe.

O Python Package Index (PyPI) está adotando medidas para prevenir ataques de ‘ressurreição de domínios’, uma técnica utilizada por cibercriminosos para explorar a confiança dos usuários em pacotes legítimos. Esses ataques ocorrem quando um criminoso registra um domínio que anteriormente pertencia a um mantenedor de pacote legítimo, mas que expirou. Com o domínio ressuscitado, o atacante pode receber e-mails de redefinição de senha e enviar atualizações maliciosas para os usuários que confiam no pacote. Para mitigar esse risco, o PyPI começou a verificar domínios expirados, dificultando o acesso não autorizado às contas dos mantenedores. Desde junho de 2025, quase 2.000 endereços de e-mail foram desverificados. Embora essa ação não elimine todos os problemas de segurança do PyPI, ela representa um avanço significativo. Além disso, o PyPI recomenda que os usuários ativem a autenticação de dois fatores (2FA) e adicionem um segundo e-mail verificado para aumentar a segurança de suas contas.

Um novo ataque cibernético está direcionando instituições financeiras, como corretoras e empresas de trading, utilizando um trojan de acesso remoto chamado GodRAT. Este malware, que foi identificado pela Kaspersky, se disfarça como arquivos de documentos financeiros, sendo distribuído via Skype na forma de arquivos .SCR (screensaver). Os ataques, que começaram a ser observados em setembro de 2024, utilizam técnicas de esteganografia para ocultar código malicioso dentro de arquivos de imagem, permitindo o download do GodRAT a partir de um servidor de comando e controle (C2).

Um novo relatório do Trellix Advanced Research Center revelou uma operação de espionagem sofisticada ligada aos hackers Kimsuky, da Coreia do Norte, que exploraram a plataforma GitHub para implantar o malware XenoRAT em embaixadas ao redor do mundo. Entre março e julho de 2025, foram realizados pelo menos 19 ataques de spear-phishing direcionados a missões diplomáticas, principalmente na Coreia do Sul. Os atacantes utilizaram táticas de engenharia social altamente credíveis, se passando por contatos diplomáticos confiáveis e enviando e-mails com convites para eventos oficiais.

Cibercriminosos estão explorando a demanda por jogos piratas para disseminar malware avançado que consegue contornar mecanismos de segurança robustos, como o Microsoft Defender SmartScreen e bloqueadores de anúncios populares, como o uBlock Origin. A análise revela uma cadeia de infecção enganosa que expõe os usuários a uma família sofisticada de malware chamada HijackLoader.

O processo de infecção começa quando os usuários acessam fóruns de pirataria ou resultados de busca no Google que prometem downloads seguros, frequentemente com alegações da comunidade de que os bloqueadores de anúncios garantem segurança. No entanto, a jornada de download se transforma em um labirinto de redirecionamentos, culminando em um arquivo hospedado no MEGA. Mesmo com o uBlock Origin instalado, esses redirecionamentos maliciosos não são bloqueados, evidenciando a proteção limitada oferecida pelos bloqueadores de anúncios.

O malware Noodlophile, ativo há mais de um ano, está sendo utilizado por cibercriminosos para realizar ataques direcionados a empresas nos EUA, Europa, países Bálticos e na região Ásia-Pacífico. Os atacantes estão empregando e-mails de spear-phishing disfarçados de notificações de infração de direitos autorais, que incluem detalhes específicos sobre as vítimas, como IDs de páginas do Facebook e informações sobre a propriedade das empresas. A campanha evoluiu, utilizando vulnerabilidades de software legítimas e mecanismos de entrega mais sofisticados, como o uso de grupos no Telegram para ocultar a localização do servidor que hospeda o malware. Os e-mails fraudulentos induzem um senso de urgência, levando os funcionários a baixar e executar arquivos maliciosos que, por sua vez, instalam o Noodlophile, um stealer que coleta dados de navegadores e informações do sistema. O código-fonte do malware sugere que os desenvolvedores estão continuamente aprimorando suas capacidades, incluindo captura de tela e keylogging. A campanha destaca a vulnerabilidade de empresas com forte presença em redes sociais, especialmente no Facebook, e representa uma ameaça crescente para a segurança cibernética.

Pesquisadores de cibersegurança da Zscaler ThreatLabz descobriram um sofisticado ataque à cadeia de suprimentos que visa desenvolvedores Python por meio de um pacote malicioso. O ataque, identificado em 22 de julho de 2025, utiliza um pacote aparentemente benigno chamado ’termncolor’, que importa uma dependência maliciosa chamada ‘colorinal’. Após a instalação, o malware executa um arquivo que carrega uma DLL maliciosa, permitindo a execução de código malicioso disfarçado de um executável legítimo. Para garantir a persistência, o malware cria uma entrada no registro do Windows, assegurando que o executável malicioso seja executado automaticamente em cada inicialização do sistema. Além disso, o malware realiza reconhecimento do sistema e se comunica com um servidor de comando e controle utilizando tráfego HTTPS, dificultando a detecção. O ataque também possui uma variante para sistemas Linux. Embora os pacotes maliciosos tenham sido removidos do Python Package Index (PyPI), o incidente destaca os riscos contínuos de compromissos na cadeia de suprimentos em ecossistemas de código aberto. Organizações devem implementar soluções de monitoramento e varredura de pacotes para detectar tais ameaças antes que se tornem persistentes.

Pesquisadores de cibersegurança descobriram uma campanha de malware sofisticada chamada “Solana-Scan”, que visa especificamente desenvolvedores de criptomoedas no ecossistema Solana por meio de pacotes npm maliciosos. A campanha, que começou em 15 de agosto de 2025, afeta principalmente desenvolvedores russos e utiliza técnicas avançadas de roubo de informações para coletar credenciais de criptomoedas e arquivos de carteira. Três pacotes npm maliciosos foram identificados: “solana-pump-test”, “solana-spl-sdk” e “solana-pump-sdk”, que se disfarçaram como ferramentas legítimas de escaneamento do SDK Solana. O malware executa um payload em duas etapas, coletando dados ambientais e, em seguida, escaneando sistemas comprometidos em busca de arquivos sensíveis. Os dados roubados são enviados para um servidor de comando e controle nos EUA, que expõe informações das vítimas, levantando questões sobre possível envolvimento estatal. A detecção desse tipo de ataque é desafiadora para ferramentas tradicionais de segurança, e recomenda-se que as organizações implementem soluções de escaneamento de pacotes em tempo real e mantenham inventários de dependências atualizados.

Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) chamado termncolor, que utiliza uma dependência chamada colorinal para executar um ataque em múltiplas etapas. O termncolor foi baixado 355 vezes, enquanto colorinal teve 529 downloads antes de serem removidos do PyPI. O ataque permite a execução remota de código e a persistência do malware por meio de um registro no Windows. O malware também pode infectar sistemas Linux, utilizando um arquivo compartilhado chamado terminate.so. A análise da atividade do autor do malware revelou que ele está ativo desde 10 de julho de 2025, e a comunicação com o servidor de comando e controle (C2) é realizada através do Zulip, um aplicativo de chat de código aberto. Além disso, um relatório da SlowMist alerta que desenvolvedores estão sendo alvo de ataques disfarçados de avaliações de emprego, levando à clonagem de repositórios do GitHub com pacotes npm maliciosos. Esses pacotes têm a capacidade de roubar dados sensíveis, como credenciais e informações de carteiras de criptomoedas. A situação destaca a necessidade de monitoramento constante dos ecossistemas de código aberto para evitar ataques à cadeia de suprimentos.

Recentemente, o Brasil tem enfrentado um aumento significativo em fraudes móveis, destacando-se o trojan PhantomCard, que utiliza comunicação de campo próximo (NFC) para realizar ataques de relay em transações bancárias. Usuários que instalam aplicativos maliciosos são induzidos a colocar seus cartões de crédito ou débito na parte traseira do celular, permitindo que os dados sejam enviados a servidores controlados por atacantes. Além disso, duas falhas de segurança na plataforma N-able N-central foram exploradas ativamente, permitindo execução de comandos e injeção de comandos, com patches já disponíveis. O grupo de ameaças Curly COMrades também foi identificado, visando entidades na Geórgia e Moldávia, alinhado com estratégias geopolíticas russas. Por fim, a descoberta de backdoors em imagens do Docker relacionadas ao XZ Utils ressalta a importância de utilizar imagens atualizadas para evitar riscos de segurança. O artigo destaca a necessidade de ações rápidas e claras para mitigar riscos em um cenário de cibersegurança em constante evolução.

Pesquisadores em cibersegurança estão observando um preocupante ressurgimento de malwares clássicos do tipo cavalo de Troia, impulsionados por Modelos de Linguagem de Grande Escala (LLMs). Esses novos malwares, como JustAskJacky e TamperedChef, utilizam funcionalidades legítimas para se disfarçar, dificultando a detecção por métodos tradicionais. A evolução das ferramentas de desenvolvimento baseadas em IA permitiu que ameaçadores criassem códigos sofisticados que evitam sistemas de detecção baseados em assinaturas. Por exemplo, o TamperedChef permaneceu indetectado no VirusTotal por seis semanas, mesmo após ser desempacotado. As aplicações que promovem esses trojans apresentam uma aparência extremamente legítima, com sites profissionais e conteúdo convincente. Isso torna a análise comportamental crucial, já que a intuição do usuário sobre sites suspeitos não é mais suficiente. Em vez disso, técnicas de análise dinâmica e comportamental são necessárias para identificar padrões de comportamento suspeitos, como os observados no JustAskJacky. A combinação de técnicas clássicas de engano com a sofisticação moderna representa uma mudança significativa no cenário de ameaças, exigindo que organizações e usuários individuais adaptem suas estratégias de segurança.

Um recente vazamento de dados, publicado na revista Phrack, revelou um conjunto de malware sofisticado para Linux, associado a um grupo de ameaças supostamente alinhado ao governo norte-coreano. O vazamento, que parece ter origem em uma violação da infraestrutura dos atacantes, expõe táticas operacionais avançadas utilizadas contra organizações governamentais e do setor privado da Coreia do Sul e Taiwan. O malware em questão é um rootkit baseado em um módulo de kernel carregável (LKM), projetado para evitar a detecção tradicional e garantir acesso persistente e oculto a sistemas Linux. Entre suas características estão a ocultação de módulos, evasão de processos e redes, e técnicas anti-forense que dificultam a reconstrução de atividades. Os pesquisadores de segurança alertam que as defesas tradicionais são insuficientes para detectar tais ameaças, e recomendam que, se um sistema for comprometido a nível de kernel, ele deve ser isolado e reconstruído imediatamente. Este incidente destaca a crescente sofisticação das operações ligadas ao estado norte-coreano, que utilizam técnicas de stealth em nível de kernel para infiltrar redes sem serem detectados.

Um novo ataque cibernético está em andamento, onde hackers estão utilizando um site falso do Telegram Premium para disseminar o malware Lumma Stealer. O domínio telegrampremium[.]app imita a marca legítima e, ao ser acessado, baixa automaticamente um arquivo executável chamado start.exe, sem a necessidade de qualquer interação do usuário. Este malware, desenvolvido em C/C++, é capaz de coletar dados sensíveis, como credenciais armazenadas no navegador e informações de carteiras de criptomoedas, aumentando o risco de roubo de identidade.

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.

O grupo de hackers conhecido como EncryptHub está explorando uma falha de segurança já corrigida no Microsoft Windows para disseminar malware. A Trustwave SpiderLabs identificou uma campanha que combina engenharia social e a exploração da vulnerabilidade CVE-2025-26633, também chamada de MSC EvilTwin. Os atacantes se passam por membros do departamento de TI e enviam solicitações pelo Microsoft Teams para estabelecer conexões remotas e implantar cargas maliciosas usando comandos PowerShell. Entre os arquivos utilizados, dois arquivos MSC com o mesmo nome são entregues, um benigno e outro malicioso, que ativa a vulnerabilidade. O arquivo malicioso se conecta a um servidor de comando e controle (C2) para receber e executar comandos, incluindo um stealer chamado Fickle Stealer. Além disso, os atacantes utilizam plataformas legítimas, como o Brave Support, para hospedar malware. A campanha destaca a importância de estratégias de defesa em camadas e treinamento de conscientização para usuários, dada a combinação de engenharia social e exploração técnica utilizada pelos hackers.

A equipe Lat61 de Inteligência de Ameaças da Point Wild identificou um clone malicioso do popular jogo Minecraft, chamado Eaglercraft 1.12 Offline, que contém um trojan de acesso remoto (RAT) conhecido como NjRat. Este malware permite que cibercriminosos roubem senhas, acessem webcams e microfones, e controlem máquinas infectadas sem o conhecimento do usuário. A popularidade de Minecraft, especialmente entre crianças e adolescentes, torna os jogadores alvos vulneráveis a esses ataques. O Eaglercraft é disfarçado como um launcher baseado em navegador e, ao ser executado, instala um backdoor chamado ‘WindowsServices.exe’, que se inicia automaticamente com o sistema operacional. O NjRat, que existe desde 2013, é um dos malwares mais persistentes, sendo frequentemente distribuído por e-mails de phishing e softwares piratas. A ameaça é agravada pela recente popularidade do jogo, impulsionada pelo lançamento de um filme live-action, aumentando a busca por conteúdos relacionados. A pesquisa destaca a necessidade de conscientização e precauções ao baixar jogos e aplicativos não oficiais.

Pesquisadores de segurança da Trend Micro descobriram uma nova ferramenta maliciosa, chamada RealBlindingEDR, que está sendo utilizada por um grupo de ransomware conhecido como Crypto24. Essa ferramenta é capaz de desativar a proteção de antivírus em dispositivos, permitindo que os hackers implantem malware adicional sem serem detectados. O RealBlindingEDR possui uma lista codificada de nomes de empresas de antivírus, como Trend Micro, Kaspersky e McAfee, e ao ser executado, busca esses nomes na metadata dos drivers para desativar os mecanismos de detecção. Além de desativar a proteção, a ferramenta pode desinstalar completamente os programas antivírus. Após conseguir acesso inicial, o grupo Crypto24 geralmente implanta um keylogger e um software de criptografia, exfiltrando dados roubados para o Google Drive. Embora a identidade do grupo ainda seja desconhecida, eles já atacaram várias organizações de grande porte em setores como finanças e tecnologia. Para mitigar esses riscos, especialistas recomendam uma estratégia de defesa em camadas, incluindo antivírus com proteção contra manipulação e ferramentas anti-malware adicionais.

Um novo ataque cibernético está explorando uma falha no sistema de convites do Discord, permitindo que hackers sequestram links de convites expirados para redirecionar usuários a servidores fraudulentos. Ao clicar em links antigos, as vítimas são levadas a um canal de verificação onde um bot as instrui a executar um comando PowerShell malicioso. Essa técnica, conhecida como ‘ClickFix’, engana os usuários a infectarem seus próprios sistemas com malwares como AsyncRAT e Skuld Stealer. A vulnerabilidade reside na forma como o Discord gerencia os links de convite, que, quando expirados, podem ser registrados por cibercriminosos. Pesquisadores identificaram mais de 1.300 downloads dos arquivos maliciosos, com vítimas em diversos países, incluindo Estados Unidos e Reino Unido. Para se proteger, é aconselhável desconfiar de links antigos e evitar executar comandos desconhecidos. Administradores de servidores devem priorizar o uso de links de convite permanentes, que são mais difíceis de serem sequestrados.

Pesquisadores de cibersegurança da Hunt.io descobriram e analisaram o código-fonte completo do ERMAC V3.0, um dos trojans bancários mais sofisticados para Android. O vazamento ocorreu em março de 2024, quando a equipe identificou um diretório exposto contendo o pacote completo do malware, incluindo seu backend em PHP e Laravel, frontend em React e servidor de exfiltração em Golang. O ERMAC V3.0 é capaz de atacar mais de 700 aplicativos de bancos, compras e criptomoedas globalmente, utilizando técnicas avançadas de injeção de formulários para roubar credenciais e dados financeiros. A análise revelou vulnerabilidades críticas, como segredos JWT hardcoded e credenciais padrão não alteradas, que podem ser exploradas por defensores. Além disso, o malware utiliza criptografia AES-CBC, mas com uma chave e nonce hardcoded, o que facilita sua detecção. A Hunt.io também conseguiu vincular o código vazado a operações ativas do ERMAC, destacando a necessidade urgente de medidas de segurança mais robustas contra esse tipo de ameaça.