Malware

Pesquisadores em cibersegurança alertam sobre uma nova campanha que utiliza iscas do tipo ClickFix e sites falsos de conteúdo adulto para enganar usuários a executar comandos maliciosos, disfarçados como uma ‘atualização crítica’ de segurança do Windows. Segundo um relatório da Acronis, a campanha redireciona usuários para sites de conteúdo adulto, como clones do xHamster e PornHub, onde uma tela falsa de atualização do Windows é exibida. Essa abordagem psicológica pressiona as vítimas a instalarem a atualização ‘urgente’.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre o uso crescente de spyware e trojans de acesso remoto (RATs) por atores maliciosos que visam usuários de aplicativos de mensagens móveis. Esses ataques utilizam técnicas avançadas de engenharia social e direcionamento para comprometer dispositivos móveis, permitindo o acesso não autorizado a aplicativos de mensagens e a instalação de cargas maliciosas adicionais. Entre os exemplos citados estão campanhas que visam o aplicativo Signal, além de spyware para Android que se disfarça como aplicativos populares, como WhatsApp e TikTok, para roubar dados. A CISA recomenda que indivíduos em risco adotem práticas de segurança, como o uso de comunicações criptografadas de ponta a ponta, autenticação resistente a phishing e a atualização periódica de software. O alerta destaca a importância de proteger informações sensíveis, especialmente para indivíduos de alto valor, como oficiais do governo e organizações da sociedade civil, em regiões como os EUA, Oriente Médio e Europa.

Um relatório do Google Threat Intelligence Group (GTIG) revelou que um grupo hacker chinês, conhecido como APT24, utilizou um malware chamado BadAudio para ciberespionagem durante três anos sem ser detectado. O ataque começou em novembro de 2022 e envolveu a modificação de mais de 20 sites legítimos com a injeção de código malicioso em JavaScript. O malware se disfarçava como uma atualização de software, enganando as vítimas para que o instalassem sem perceber a verdadeira intenção. Uma técnica sofisticada chamada ‘control flow flattening’ foi utilizada para ofuscar o código, dificultando a engenharia reversa e a detecção do malware. Após a infecção, o BadAudio coletava informações do sistema e criptografava dados sensíveis para enviá-los a um centro de comando. O grupo também implementou campanhas de spearphishing, enviando e-mails que se passavam por organizações legítimas, e utilizou serviços como Google Drive e OneDrive para distribuir o malware. Apesar de algumas tentativas terem sido bloqueadas, a maioria das amostras analisadas permaneceu indetectada por mais de 25 plataformas de antivírus, evidenciando a eficácia das técnicas de invisibilidade empregadas pelo APT24.

Recentemente, múltiplos fornecedores de segurança alertaram sobre uma nova onda de ataques direcionados ao registro npm, denominada Sha1-Hulud, que comprometeu centenas de pacotes. Os pacotes infectados foram carregados entre 21 e 23 de novembro de 2025 e introduzem um novo vetor de ataque que executa código malicioso durante a fase de pré-instalação, aumentando a exposição em ambientes de construção e execução. Os pesquisadores da Wiz identificaram mais de 25.000 repositórios afetados, com 1.000 novos repositórios sendo adicionados a cada 30 minutos. O malware é capaz de registrar a máquina infectada como um runner auto-hospedado e exfiltrar segredos do GitHub, como tokens e credenciais de serviços em nuvem. Se o malware não conseguir autenticar ou estabelecer persistência, ele pode destruir dados no diretório inicial do usuário. A situação é considerada mais agressiva do que a onda anterior de ataques, que já havia mostrado um padrão de comprometimento de pacotes legítimos. Organizações são aconselhadas a escanear seus endpoints, remover versões comprometidas e auditar repositórios para mitigar riscos.

Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por atacantes para distribuir o malware conhecido como ShadowPad. A vulnerabilidade, identificada como CVE-2025-59287, é uma falha crítica de desserialização que permite a execução remota de código com privilégios de sistema. Os atacantes inicialmente acessaram servidores Windows com WSUS habilitado e utilizaram ferramentas como PowerCat, um utilitário baseado em PowerShell, para obter um shell do sistema. Em seguida, eles baixaram e instalaram o ShadowPad usando comandos como certutil e curl.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Um novo trojan bancário, denominado “Eternidade Stealer”, está atacando usuários de WhatsApp no Brasil, conforme análise da Trustwave SpiderLabs. O malware é disseminado por hackers através do aplicativo de mensagens e possui a capacidade de se autorreplicar, facilitando sua propagação. O Eternidade Stealer combina um stealer baseado em Delphi e um dropper MSI, que permite o roubo de informações sensíveis, como dados bancários e listas de contatos. O ataque utiliza um VBScript, com um worm escrito em Python, que se instala silenciosamente no dispositivo da vítima, realizando uma varredura em busca de ferramentas antivírus e coletando dados críticos. Os bancos mais afetados incluem Itaú, Santander, Bradesco e Caixa, além de serviços como MercadoPago e Binance. Os especialistas alertam que o malware é mais difícil de remover do que outros trojans comuns e que mensagens personalizadas são enviadas para enganar as vítimas. Diante desse cenário, é crucial que os usuários permaneçam atentos a atividades suspeitas no WhatsApp para evitar golpes financeiros.

O grupo de ameaças APT24, vinculado à China, tem utilizado um malware inédito chamado BADAUDIO para obter acesso remoto persistente a redes comprometidas, em uma campanha que já dura quase três anos. Inicialmente, o grupo se concentrava em compromissos estratégicos de sites legítimos, mas recentemente mudou sua abordagem para alvos mais sofisticados, especialmente em Taiwan. APT24, também conhecido como Pitty Tiger, tem atacado setores como governo, saúde e telecomunicações nos EUA e em Taiwan. O malware BADAUDIO, escrito em C++, é altamente ofuscado e atua como um downloader que pode baixar e executar cargas úteis criptografadas. Desde novembro de 2022, o grupo comprometeu mais de 20 sites legítimos, injetando código JavaScript malicioso para enganar usuários e forçá-los a baixar o malware disfarçado de atualização do Google Chrome. Além disso, a partir de julho de 2024, o grupo orquestrou um ataque à cadeia de suprimentos ao comprometer uma empresa de marketing digital em Taiwan, permitindo que mais de 1.000 domínios fossem afetados. A complexidade das técnicas utilizadas, como engenharia social e comprometimento de serviços em nuvem, demonstra a capacidade do grupo para espionagem persistente e adaptativa.

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Sturnus, que permite o roubo de credenciais e a tomada total do dispositivo para fraudes financeiras. Uma das características mais notáveis do Sturnus é sua capacidade de contornar mensagens criptografadas, capturando conteúdo diretamente da tela do dispositivo após a descriptografia. Isso permite que o malware monitore comunicações em aplicativos como WhatsApp, Telegram e Signal. Além disso, o Sturnus realiza ataques de sobreposição, exibindo telas de login falsas sobre aplicativos bancários para roubar credenciais dos usuários. O malware é direcionado a instituições financeiras na Europa Central e do Sul, utilizando sobreposições específicas para cada região. Após ser ativado, o Sturnus se conecta a um servidor remoto via WebSocket e HTTP, recebendo cargas úteis criptografadas. Ele também pode abusar dos serviços de acessibilidade do Android para capturar pressionamentos de tecla e registrar interações da interface do usuário. O Sturnus é projetado para evitar a detecção, bloqueando tentativas de desinstalação e monitorando continuamente a atividade do dispositivo. Embora sua disseminação ainda seja limitada, a combinação de geografia-alvo e foco em aplicativos de alto valor sugere que os atacantes estão refinando suas ferramentas para operações mais amplas no futuro.

A campanha de malvertising chamada TamperedChef está em andamento, utilizando instaladores falsos que se disfarçam como softwares populares para enganar usuários e instalar malware. O objetivo principal é estabelecer persistência e entregar um malware em JavaScript que permite acesso remoto e controle. Os atacantes empregam engenharia social, utilizando nomes de aplicativos comuns, malvertising e certificados digitais abusados para aumentar a confiança do usuário e evitar a detecção de segurança. Os instaladores falsos são assinados com certificados de empresas de fachada registradas em países como EUA, Panamá e Malásia. A campanha, que faz parte de um conjunto mais amplo de ataques denominado EvilAI, tem como alvo usuários que buscam editores de PDF ou manuais de produtos, levando-os a domínios maliciosos. Após a instalação, um backdoor em JavaScript é ativado, conectando-se a servidores externos e enviando informações básicas sobre o sistema infectado. A campanha já afetou setores como saúde, construção e manufatura, com uma concentração significativa de infecções nos EUA e em menor grau em países como Israel e Alemanha. Os dados indicam que os atacantes podem estar buscando monetizar o acesso a outros cibercriminosos ou coletar dados sensíveis para venda em fóruns clandestinos.

O comando ‘finger’, uma ferramenta de consulta de usuários em sistemas Unix, voltou a ser explorado por atacantes para executar comandos remotos e roubar dados sem que os usuários percebam. Embora tenha caído em desuso, o método atual utiliza scripts em lote que fazem requisições a servidores ‘finger’ remotos, canalizando as respostas diretamente para sessões de comando do Windows. Um exemplo notável envolveu um usuário que, acreditando estar completando uma verificação humana, na verdade executou um comando que se conectava a um endereço ‘finger’, permitindo que um script malicioso fosse executado localmente.

A Samsung enfrenta críticas globais após alegações de que alguns modelos de celulares Galaxy, como as linhas A, M e F, vêm com um aplicativo chamado AppCloud, desenvolvido pela ironSource, uma empresa israelense. Este aplicativo, que não pode ser desinstalado por métodos convencionais, levanta preocupações sobre privacidade, pois supostamente coleta dados sensíveis dos usuários, como endereço IP, identificadores de dispositivos e localização, sem consentimento. O AppCloud é descrito como um serviço de recomendações que sugere aplicativos de terceiros, mas sua natureza irremovível e a dificuldade em acessar sua política de privacidade aumentam a desconfiança. A ironSource já foi acusada de operar plataformas de adware, o que intensifica a indignação dos consumidores. Até o momento, a Samsung não se pronunciou sobre a situação, que ocorre em um contexto de crescente tensão geopolítica entre Israel e Palestina, o que pode agravar as preocupações sobre a segurança e privacidade dos dados dos usuários.

O grupo de ameaças conhecido como PlushDaemon tem utilizado uma backdoor de rede baseada em Go, chamada EdgeStepper, para realizar ataques do tipo adversário no meio (AitM). Essa técnica redireciona todas as consultas DNS para um nó malicioso, desviando o tráfego de atualizações de software de infraestruturas legítimas para servidores controlados pelos atacantes. Ativo desde pelo menos 2018, o PlushDaemon é considerado alinhado à China e tem como alvo entidades nos EUA, Nova Zelândia, Camboja, Hong Kong, Taiwan, Coreia do Sul e China continental. O grupo foi documentado pela ESET após um ataque à cadeia de suprimentos de um provedor de VPN sul-coreano, visando empresas de semicondutores e desenvolvimento de software. O EdgeStepper compromete dispositivos de rede, como roteadores, explorando falhas de segurança ou credenciais fracas. O malware possui dois componentes principais: um módulo distribuidor que resolve endereços IP e um componente chamado Ruler que configura regras de filtragem de pacotes. O ataque também visa softwares chineses, como o Sogou Pinyin, para entregar um DLL malicioso. A capacidade do PlushDaemon de comprometer alvos globalmente destaca a necessidade de vigilância e proteção contínua contra essas ameaças.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza engenharia social e sequestro de contas do WhatsApp para disseminar um trojan bancário chamado Eternidade Stealer, visando usuários no Brasil. O malware, desenvolvido em Delphi, se destaca por sua capacidade de atualizar endereços de comando e controle (C2) via IMAP, permitindo que os atacantes mantenham controle sobre a infecção. A distribuição ocorre através de um worm no WhatsApp, utilizando um script em Python para automatizar o envio de mensagens maliciosas. O ataque começa com um script em Visual Basic ofuscado que, ao ser executado, entrega dois payloads: um script Python que propaga o malware e um instalador MSI que ativa o Eternidade Stealer. Este último verifica se o sistema está em português brasileiro antes de prosseguir, indicando um foco local. O Eternidade Stealer monitora janelas ativas e processos em busca de informações de credenciais bancárias, capturando dados de serviços como Bradesco e Binance. A campanha reflete uma tendência crescente de uso de malware baseado em Delphi na América Latina, aproveitando a popularidade do WhatsApp para realizar ataques em larga escala contra instituições brasileiras. Os especialistas alertam para a necessidade de vigilância em atividades suspeitas no WhatsApp e execuções inesperadas de scripts.

Pesquisadores da NVISO identificaram uma nova tática do grupo de hackers norte-coreano Contagious Interview, que utiliza serviços de armazenamento JSON para disseminar malware. O ataque visa principalmente plataformas de networking profissional, como o LinkedIn, onde os criminosos se passam por recrutadores ou colaboradores. O malware, denominado BeaverTail, é um trojan que pode roubar dados sensíveis e instalar uma backdoor Python chamada InvisibleFerret. Um dos métodos utilizados envolve a ofuscação de um arquivo que parece conter uma chave de API, mas na verdade redireciona para uma URL de armazenamento JSON. Além disso, um novo payload chamado TsunamiKit foi introduzido, permitindo que os hackers coletem dados e baixem mais malwares de endereços .onion. Essa abordagem disfarçada, utilizando serviços legítimos, demonstra a evolução das táticas de ciberataque, tornando a detecção mais difícil e aumentando o risco para usuários e empresas.

Pesquisadores de cibersegurança identificaram um conjunto de sete pacotes npm maliciosos publicados por um ator de ameaça conhecido como ‘dino_reborn’ entre setembro e novembro de 2025. Esses pacotes utilizam um serviço de cloaking chamado Adspect para distinguir entre vítimas reais e pesquisadores de segurança, redirecionando as vítimas para sites fraudulentos relacionados a criptomoedas. Se um visitante é identificado como vítima, ele é levado a um site malicioso após interagir com um CAPTCHA falso. Se o visitante é um pesquisador, ele é apresentado a uma página de engano sem funcionalidades maliciosas. Seis dos pacotes contêm um malware de 39kB que captura impressões digitais do sistema e impede a análise do código-fonte. O uso do Adspect é notável, pois combina cloaking de tráfego e controles anti-pesquisa em pacotes de código aberto, permitindo que o ator de ameaça distribua um kit de ferramentas de controle de tráfego. O impacto potencial inclui roubo de ativos digitais e a possibilidade de comprometer a segurança de desenvolvedores que utilizam npm, uma plataforma amplamente utilizada no Brasil.

Um grupo de ameaças cibernéticas suspeito de espionagem, atribuído ao Irã, tem utilizado backdoors como TWOSTROKE e DEEPROOT para atacar indústrias de defesa e aviação no Oriente Médio. O grupo, identificado como UNC1549, foi monitorado entre 2023 e 2025, empregando técnicas sofisticadas para obter acesso inicial, como o abuso de relacionamentos com terceiros e campanhas de phishing direcionadas. Recentemente, a empresa PRODAFT associou o grupo a uma campanha que comprometeu 11 empresas de telecomunicações na Europa, utilizando engenharia social via LinkedIn. As cadeias de infecção incluem phishing para roubo de credenciais e exploração de vulnerabilidades em serviços como Citrix e Azure. Após a infiltração, as atividades dos atacantes incluem reconhecimento, movimentação lateral e roubo de informações sensíveis. Ferramentas personalizadas, como MINIBIKE e TWOSTROKE, são utilizadas para coletar dados do sistema e manter a persistência na rede alvo. O grupo se destaca por sua capacidade de evitar detecções e garantir acesso contínuo, utilizando técnicas como shells reversos SSH e domínios que imitam a indústria das vítimas.

Pesquisadores de cibersegurança revelaram detalhes sobre um ataque cibernético que visou uma grande empresa imobiliária dos EUA, utilizando um novo framework de comando e controle (C2) chamado Tuoni. O ataque ocorreu em meados de outubro de 2025 e, segundo a Morphisec, os invasores provavelmente usaram engenharia social por meio de uma imitação no Microsoft Teams para obter acesso inicial. Os atacantes se passaram por fornecedores ou colegas de confiança para induzir um funcionário a executar um comando PowerShell. Esse comando baixou um segundo script PowerShell de um servidor externo, que utilizou técnicas de esteganografia para ocultar um payload dentro de uma imagem bitmap. O objetivo principal era extrair e executar shellcode diretamente na memória, resultando na execução do ‘TuoniAgent.dll’, que permitiu o controle remoto da máquina alvo. Embora o ataque tenha sido frustrado, ele evidencia o uso indevido de ferramentas de red teaming para fins maliciosos. A Morphisec também observou que o mecanismo de entrega do ataque apresentava indícios de assistência de inteligência artificial na geração de código, refletindo uma tendência preocupante no uso de tecnologias emergentes para atividades ilícitas.

Pesquisadores de cibersegurança identificaram campanhas de malware que utilizam a tática de engenharia social ClickFix para implantar o Amatera Stealer e o NetSupport RAT. O Amatera, uma evolução do ACR Stealer, foi observado pela primeira vez em junho de 2025 e está disponível por meio de planos de assinatura que variam de $199 a $1.499 por ano. Este malware é projetado para exfiltrar dados sensíveis de carteiras de criptomoedas, navegadores e aplicativos de mensagens, utilizando técnicas avançadas para evitar detecções por soluções de segurança.

O grupo de cibercriminosos conhecido como Dragon Breath, também identificado como APT-Q-27, tem utilizado um carregador de múltiplas etapas chamado RONINGLOADER para disseminar uma variante modificada do trojan de acesso remoto Gh0st RAT. A campanha é direcionada principalmente a usuários de língua chinesa e utiliza instaladores NSIS trojanizados que se disfarçam como softwares legítimos, como Google Chrome e Microsoft Teams. Os pesquisadores de segurança da Elastic Security Labs destacam que a cadeia de infecção emprega diversas técnicas de evasão para neutralizar produtos de segurança populares na China. Entre as táticas utilizadas, estão a utilização de drivers assinados legitimamente e a manipulação do Microsoft Defender. O RONINGLOADER não apenas tenta eliminar processos de segurança, mas também injeta código malicioso em processos legítimos do Windows para ocultar suas atividades. Além disso, uma campanha paralela identificada pela Palo Alto Networks, chamada Campaign Chorus, também tem utilizado a falsificação de marcas para atingir usuários de língua chinesa, empregando uma cadeia de infecção mais sofisticada. Essas atividades representam um risco significativo, especialmente para organizações que operam em setores vulneráveis a ataques cibernéticos.

Os keyloggers são ferramentas que registram as teclas digitadas em dispositivos, podendo ser utilizados tanto de forma legítima quanto maliciosa. Como software, eles são frequentemente instalados em sistemas operacionais sem o conhecimento do usuário, enquanto como hardware, podem ser dispositivos físicos conectados entre o teclado e o computador. A principal função dos keyloggers é coletar informações sensíveis, como senhas e dados bancários, o que os torna uma ameaça significativa no cenário da cibersegurança. Embora possam ser usados legalmente para monitoramento corporativo, controle parental e suporte técnico, seu uso sem consentimento levanta questões éticas e de privacidade. Os cibercriminosos, por outro lado, utilizam keyloggers para roubar dados através de métodos como phishing e downloads de trojans. Para se proteger, é essencial estar ciente dos sinais de alerta e adotar medidas de segurança, como o uso de antivírus e a verificação de links suspeitos. O artigo também discute a necessidade de um debate ético sobre o uso de keyloggers, especialmente em ambientes corporativos e familiares, onde a privacidade deve ser respeitada.

O malware de botnet conhecido como RondoDox está atacando instâncias do XWiki que não foram atualizadas, aproveitando uma falha de segurança crítica identificada como CVE-2025-24893, que possui uma pontuação CVSS de 9.8. Essa vulnerabilidade, que permite a execução remota de código arbitrário, foi corrigida nas versões 15.10.11, 16.4.1 e 16.5.0RC1 do XWiki, lançadas em fevereiro de 2025. Desde março, houve indícios de que a falha estava sendo explorada, mas foi em outubro que a VulnCheck reportou um aumento significativo nas tentativas de exploração, culminando em um pico em 7 de novembro. O RondoDox, que rapidamente está adicionando novos vetores de exploração, visa dispositivos vulneráveis para realizar ataques de negação de serviço distribuída (DDoS) utilizando protocolos HTTP, UDP e TCP. Além disso, outras tentativas de ataque têm sido observadas, como a entrega de mineradores de criptomoedas e a criação de shells reversos. A CISA dos EUA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas, exigindo que agências federais implementem as devidas mitig ações até 20 de novembro. Este cenário ressalta a importância de práticas robustas de gerenciamento de patches para garantir a proteção adequada.

O grupo de ameaças da Coreia do Norte, responsável pela campanha Contagious Interview, alterou suas táticas ao utilizar serviços de armazenamento JSON, como JSON Keeper e JSONsilo, para hospedar e entregar cargas maliciosas. Segundo pesquisadores da NVISO, a campanha envolve abordagens a alvos em redes profissionais, como o LinkedIn, sob o pretexto de avaliações de emprego ou colaborações em projetos. Os alvos são instruídos a baixar projetos de demonstração hospedados em plataformas como GitHub, onde arquivos maliciosos estão disfarçados. Um exemplo encontrado contém um valor codificado em Base64 que, na verdade, é um URL para um serviço JSON, onde a carga maliciosa é armazenada de forma ofuscada. O malware, denominado BeaverTail, coleta dados sensíveis e instala um backdoor em Python chamado InvisibleFerret. Além disso, a campanha também utiliza um payload adicional chamado TsunamiKit, que foi destacado pela ESET em setembro de 2025. Os pesquisadores alertam que a utilização de sites legítimos para a entrega de malware demonstra a intenção dos atacantes de operar de forma furtiva, visando comprometer desenvolvedores de software e exfiltrar informações sensíveis.

Pesquisadores da Socket identificaram uma extensão maliciosa chamada Safery: Ethereum Wallet, disponível na Chrome Web Store, que se disfarça como uma carteira de criptomoedas segura. Desde sua publicação em 29 de setembro de 2025, a extensão tem como objetivo roubar as seed phrases, que são as senhas utilizadas para recuperar carteiras de criptomoedas. A extensão contém uma backdoor que extrai essas frases mnemônicas e as envia disfarçadas como endereços de carteiras Sui, utilizando microtransações de 0,000001 SUI para ocultar o roubo. Essa técnica permite que os hackers obtenham as seed phrases sem a necessidade de um servidor de comando e controle, tornando o ataque mais difícil de detectar. Os especialistas recomendam que usuários de criptomoedas utilizem apenas extensões confiáveis e conhecidas, além de sugerirem que organizações realizem escaneamentos em busca de códigos maliciosos em extensões instaladas. A extensão ainda está disponível para download, o que representa um risco significativo para os usuários de criptomoedas.

Uma recente campanha de malware ilustra o uso contínuo de cadeias de infecção em múltiplas etapas para contornar controles de segurança e entregar o ladrão de informações FormBook. O ataque começa com um e-mail contendo um anexo ZIP, que se desdobra em uma sequência complexa de scripts ofuscados. O arquivo ZIP inicial contém um script em Visual Basic (VBS) que, apesar de sua aparência simples, possui camadas de ofuscação para ocultar seu verdadeiro propósito. O script inicia um loop de atraso e constrói um comando PowerShell, que é executado em um novo processo. A camada PowerShell é fortemente ofuscada, utilizando funções específicas para reconstruir e executar fragmentos de código malicioso. O script tenta baixar o próximo payload de um link do Google Drive, que é então injetado em um processo legítimo, resultando na execução de uma variante do FormBook. Este malware é projetado para coletar credenciais, capturas de tela e pressionamentos de tecla, comunicando-se com um servidor de comando e controle. A campanha destaca a importância de não limitar a engenharia reversa a binários executáveis, pois infecções modernas dependem de scripts leves e processos confiáveis para entregar payloads poderosos e furtivos.

Uma operação coordenada pela Europol e Eurojust, chamada Operação Endgame, resultou no desmantelamento de uma rede criminosa que disseminava malwares como Rhadamanthys Stealer e Venom RAT, além do bot Elysium. A ação, que ocorreu em 10 de novembro de 2025, levou à prisão do principal suspeito na Grécia e à desativação de mais de mil servidores, além da apreensão de cerca de 20 domínios. Segundo a Europol, a rede de malware afetou centenas de milhares de computadores em todo o mundo, resultando no roubo de milhões de credenciais. O Rhadamanthys Stealer, por exemplo, coletava informações de dispositivos sem que as vítimas percebessem, enquanto o Venom RAT estava associado a ataques de ransomware. A operação também revelou que o cibercriminoso investigado havia coletado cerca de 100 mil carteiras de criptomoedas, representando um valor significativo em euros. A investigação continua, especialmente em relação ao bot Elysium, cuja relação com os outros malwares ainda está sendo analisada.

Uma nova investigação da NVISO revelou uma campanha de malware chamada “Contagious Interview”, associada a atores de ameaças alinhados à Coreia do Norte. Essa campanha utiliza serviços legítimos de armazenamento JSON, como JSON Keeper e JSONsilo, para distribuir malware a partir de repositórios de código comprometidos. O ataque se concentra em desenvolvedores de software, especialmente nos setores de criptomoedas e Web3, que são abordados por recrutadores falsos em plataformas profissionais como o LinkedIn. Os desenvolvedores são induzidos a baixar projetos de demonstração de repositórios como GitLab ou GitHub, que, embora pareçam funcionais, contêm arquivos de configuração maliciosos. Esses arquivos, ao serem decodificados, revelam URLs que carregam scripts JavaScript ofuscados, levando à instalação de um infostealer chamado BeaverTail, que coleta dados sensíveis. A segunda fase do ataque envolve um RAT modular chamado InvisibleFerret, que busca componentes adicionais em Pastebin. A NVISO alerta que os desenvolvedores devem ser cautelosos ao executar códigos de entrevistas não solicitadas e tratar variáveis de configuração como potenciais vetores de infecção.

Pesquisadores identificaram a continuidade da campanha SmartApeSG, que agora utiliza um vetor de ataque do tipo CAPTCHA falso, conhecido como ClickFix, para entregar cargas maliciosas do NetSupport RAT. Essa campanha, que surgiu em meados de 2024, inicialmente distribuía malware por meio de páginas de atualização de navegador falsificadas. Na sua evolução mais recente, a SmartApeSG adotou uma enganação mais convincente, abusando da confiança do usuário para acionar a execução do malware manualmente.

Entre os dias 10 e 13 de novembro de 2025, uma operação coordenada liderada pela Europol e Eurojust resultou no desmantelamento de famílias de malware, incluindo Rhadamanthys Stealer, Venom RAT e a botnet Elysium. Esta ação faz parte da Operação Endgame, que visa combater infraestruturas criminosas e ransomware em todo o mundo. Durante a operação, mais de 1.025 servidores foram derrubados e 20 domínios foram apreendidos. A Europol informou que a infraestrutura desmantelada continha centenas de milhares de computadores infectados, com milhões de credenciais roubadas. Muitos dos afetados não tinham conhecimento da infecção em seus sistemas. Além disso, o principal suspeito do Venom RAT foi preso na Grécia e tinha acesso a cerca de 100.000 carteiras de criptomoedas, representando um potencial valor de milhões de euros. A análise da Check Point revelou que a versão mais recente do Rhadamanthys agora coleta impressões digitais de dispositivos e navegadores, utilizando mecanismos para evitar detecção. A operação contou com a colaboração de agências de segurança de vários países, incluindo Estados Unidos, Austrália e diversos países europeus.

Pesquisadores de cibersegurança descobriram uma extensão maliciosa do Chrome chamada “Safery: Ethereum Wallet”, que se apresenta como uma carteira legítima de Ethereum, mas possui funcionalidades para exfiltrar as frases-semente dos usuários. Lançada na Chrome Web Store em 29 de setembro de 2025 e atualizada até 12 de novembro, a extensão ainda está disponível para download. O malware embutido na extensão é projetado para roubar frases mnemônicas de carteiras, codificando-as como endereços falsos de Sui e realizando microtransações de uma carteira controlada pelo atacante. O objetivo final é ocultar a frase-semente dentro de transações normais da blockchain, evitando a necessidade de um servidor de comando e controle. Os usuários são aconselhados a utilizar apenas extensões de carteira confiáveis e a realizar verificações em extensões que possam conter codificadores mnemônicos. A técnica utilizada pelos atacantes permite que eles mudem facilmente de cadeias e pontos de extremidade RPC, tornando as detecções convencionais ineficazes.

Pesquisadores em cibersegurança alertam para uma campanha de spam em larga escala que tem inundado o registro npm com milhares de pacotes falsos desde o início de 2024. Identificada como ‘IndonesianFoods’, essa campanha já publicou cerca de 67.579 pacotes, que se disfarçam como projetos do Next.js. O objetivo principal não é o roubo de dados, mas sim a saturação do registro com pacotes aleatórios. Os pacotes contêm um script JavaScript que permanece inativo até ser executado manualmente pelo usuário, o que dificulta a detecção automática por scanners de segurança. Essa execução manual inicia um ciclo que remove configurações de privacidade e publica novos pacotes a cada 7 a 10 segundos, resultando em um fluxo constante de pacotes indesejados. A campanha, que já dura mais de dois anos, levanta preocupações sobre a segurança da cadeia de suprimentos de software, pois pode levar desenvolvedores a instalar acidentalmente esses pacotes maliciosos. A GitHub já removeu os pacotes identificados e se comprometeu a intensificar a detecção e remoção de conteúdos maliciosos em sua plataforma.

O malware GootLoader, conhecido por suas técnicas de ocultação, voltou a ser uma ameaça ativa, conforme relatado pela empresa de cibersegurança Huntress. Desde o final de outubro, foram identificadas três invasões, com duas delas comprometendo o controlador de domínio em apenas 17 horas após a infecção. O GootLoader utiliza uma abordagem inovadora, explorando os comentários em sites WordPress para entregar arquivos encriptados com chaves únicas, utilizando ofuscamento por meio de fontes WOFF2. Isso permite que o malware se esconda em arquivos que parecem legítimos, enganando os usuários.

Pesquisadores identificaram uma nova campanha do MastaStealer que utiliza arquivos de atalho do Windows (LNK) para executar comandos maliciosos em PowerShell e implantar um beacon de comando e controle (C2) em sistemas comprometidos. O ataque começa com um e-mail de spear-phishing que contém um arquivo ZIP com um arquivo .lnk malicioso. Ao ser executado, o atalho abre o Microsoft Edge em um domínio legítimo, anydesk[.]com, enquanto busca silenciosamente um payload secundário de um domínio semelhante, anydesck[.]net. Esse processo resulta no download de um instalador MSI malicioso que estabelece persistência e implanta o payload final. A análise do comportamento foi realizada através dos logs de eventos do Windows Installer, que indicaram falhas de instalação quando executadas sob contas não privilegiadas. O arquivo MSI cria uma pasta temporária e implanta um binário disfarçado de dwm.exe, que atua como beacon C2. Além disso, um comando PowerShell modifica as configurações do Windows Defender, permitindo que o malware opere sem ser detectado. A campanha destaca a eficácia contínua da exploração de arquivos LNK em ataques de engenharia social, exigindo que as organizações adotem medidas de mitigação, como o bloqueio de downloads MSI de fontes não confiáveis e a restrição da execução de arquivos LNK de anexos de e-mail.

Pesquisadores estão observando um aumento nas campanhas de malware para macOS que utilizam arquivos AppleScript (.scpt) para entregar stealer e instaladores de atualizações falsas disfarçados como documentos de escritório legítimos ou atualizações do Zoom e Microsoft Teams. Essa técnica, anteriormente associada a operações de APT que visavam o macOS, agora está sendo reaproveitada por famílias de malware como MacSync e Odyssey Stealer. Após a remoção, em agosto de 2024, da opção de contornar o Gatekeeper com o ‘clique direito e abrir’, os atacantes têm experimentado novos métodos de interação com o usuário para executar códigos maliciosos. Os arquivos .scpt maliciosos são abertos pelo Script Editor.app, permitindo que os atacantes ocultem o código malicioso em comentários, levando as vítimas a executar comandos prejudiciais sem perceber. Exemplos recentes incluem documentos falsos e scripts de atualização que, ao serem abertos, podem buscar cargas secundárias ou executar comandos ocultos. A detecção de malware por antivírus tradicionais é inconsistente, e recomenda-se que os defensores monitorem as execuções iniciadas pelo Script Editor.app e tratem arquivos com extensões suspeitas como .docx.scpt e .pptx.scpt com cautela. Para mitigar esses riscos, sugere-se alterar o manipulador padrão para editores não executáveis como o TextEdit.

Rumores no monitoramento de cibercrime indicam uma interrupção significativa na infraestrutura do Hadamanthys Stealer, um malware que rouba informações. Relatos sugerem que seus domínios onion e painéis de controle estão offline, possivelmente devido a uma operação coordenada de aplicação da lei. Analistas de inteligência de ameaças, como Gi7w0rm e g0njxa, acreditam que a infraestrutura do Hadamanthys pode ter sido apreendida, levando os administradores a aconselharem os usuários a ‘pausar todo o trabalho’ e reinstalar seus servidores. Essa situação é consistente com padrões observados em operações anteriores contra ecossistemas cibercriminosos, onde a inatividade dos domínios e avisos administrativos indicam instabilidade e possíveis compromissos. O Hadamanthys, que se destacou como uma plataforma de Malware-as-a-Service (MaaS) em 2024-2025, permitia que atores de ameaças comprassem e gerenciassem hosts infectados globalmente. A apreensão de sua infraestrutura pode causar um impacto significativo no mercado de infostealers, embora a recuperação parcial ou rebranding sob um novo nome seja uma possibilidade em um futuro próximo.

O uso de spywares por governos para monitorar indivíduos, como jornalistas e ativistas, tem se tornado uma prática comum em diversas nações. Embora esses softwares sejam frequentemente justificados como ferramentas de combate ao crime e ao terrorismo, evidências apontam que muitos alvos são inocentes. Um exemplo recente é o caso de um consultor político italiano que foi espionado pelo spyware Paragon. Especialistas, como Eva Galperin da Electronic Frontier Foundation, destacam que a facilidade de uso desses softwares permite abusos, uma vez que agentes governamentais podem simplesmente inserir um número de telefone e iniciar a vigilância. Países como Arábia Saudita, Emirados Árabes Unidos, Itália e Marrocos têm sido citados por direcionar suas ferramentas de espionagem contra jornalistas e opositores. Apesar de alguns avanços, como a Paragon rompendo laços com o governo italiano, a falta de regulamentação e transparência continua a ser um desafio. A situação exige uma abordagem global para mitigar os riscos associados ao uso de spywares, especialmente em contextos onde os direitos humanos são frequentemente violados.

Pesquisadores de segurança cibernética descobriram semelhanças entre um malware bancário chamado Coyote e um novo programa malicioso denominado Maverick, que está sendo disseminado via WhatsApp. Ambos os malwares, escritos em .NET, têm como alvo usuários e instituições financeiras no Brasil, apresentando funcionalidades semelhantes, como a capacidade de monitorar aplicativos bancários e se propagar através do WhatsApp Web. O Maverick, documentado pela Trend Micro, é atribuído a um ator de ameaças conhecido como Water Saci e utiliza um malware auto-propagante chamado SORVEPOTEL, que entrega um arquivo ZIP contendo o payload do Maverick. Este malware monitora abas de navegador em busca de URLs de instituições financeiras e pode coletar informações do sistema e exibir páginas de phishing para roubo de credenciais. A Sophos levantou a possibilidade de que Maverick seja uma evolução do Coyote, e a Kaspersky confirmou sobreposições de código entre os dois. A campanha também se destaca por sua capacidade de contornar a autenticação do WhatsApp Web, permitindo acesso imediato às contas dos usuários. Com mais de 148 milhões de usuários ativos no Brasil, a popularidade do WhatsApp torna essa ameaça particularmente preocupante.

Uma vulnerabilidade zero-day na biblioteca de processamento de imagem do sistema Android da Samsung permitiu que hackers instalassem spywares em celulares da linha Galaxy, especialmente no Oriente Médio. O malware, denominado Landfall, foi identificado pela Unit 42 da Palo Alto Networks e é capaz de gravar conversas, monitorar a localização, tirar fotos e roubar contatos. A falha, classificada como CVE-2025-21042, foi explorada entre meados de 2024 e abril de 2025, quando a Samsung lançou um patch para corrigir o problema. O spyware era disseminado através de negativos digitais (DNG) enviados pelo WhatsApp, atingindo principalmente usuários no Iraque, Irã, Marrocos e Turquia. A descoberta do Landfall sugere uma possível coordenação com ataques semelhantes em dispositivos iOS, indicando que agentes privados ou governamentais podem estar por trás das atividades maliciosas. A situação é alarmante, pois o malware é otimizado para dispositivos de alta gama da Samsung, como os modelos Galaxy S22, S23 e S24, e possui capacidades avançadas de reconhecimento e evasão.

O grupo de hackers chinês FamousSparrow, conhecido por suas atividades de ciberespionagem, está de volta com novas ameaças, visando a América Latina. Após um período de inatividade entre 2022 e 2024, o grupo executou três ataques distintos em 2024, atingindo uma associação comercial nos EUA, um instituto de pesquisa no México e uma instituição governamental em Honduras. Os ataques têm como objetivo a distribuição de dois backdoors, SparrowDoor e ShadowPad, que representam um avanço em relação às versões anteriores, permitindo a paralelização de comandos. Os ataques foram realizados através da inserção de um web shell em servidores do Internet Information Services (IIS) da Microsoft, explorando versões desatualizadas do Windows Server e do Microsoft Exchange Server. O FamousSparrow, que ganhou notoriedade em 2021, é conhecido por desenvolver suas próprias ferramentas de ataque e por roubar informações confidenciais de diversas instituições. A descoberta de suas atividades renovadas levanta preocupações sobre a segurança de dados sensíveis em um contexto global cada vez mais vulnerável.

O grupo de ciberespionagem conhecido como Ferocious Kitten tem atuado de forma encoberta desde 2015, focando em dissidentes e ativistas persas no Irã. Recentemente, o grupo ganhou destaque por utilizar uma ferramenta de vigilância chamada MarkiRAT, que é distribuída através de e-mails de spearphishing contendo documentos maliciosos do Microsoft Office. Esses documentos exploram vulnerabilidades, como a CVE-2021-40444, para implantar o malware. Uma vez ativo, o MarkiRAT registra teclas digitadas, captura dados da área de transferência, realiza buscas em arquivos e rouba credenciais, especialmente de arquivos KeePass. O malware se destaca por suas táticas de persistência, se infiltrando em aplicativos legítimos como Telegram e Chrome, garantindo que o software malicioso seja executado sempre que o usuário inicia esses programas. Além disso, utiliza técnicas de engenharia social para disfarçar arquivos executáveis como imagens ou vídeos, dificultando a detecção. O Ferocious Kitten demonstra agilidade operacional, adaptando-se rapidamente e priorizando a coleta de dados em vez de ataques disruptivos. Organizações são aconselhadas a testar suas defesas contra as táticas em evolução desse grupo, especialmente em plataformas de simulação de segurança.

Um novo trojan de acesso remoto para Android (RAT) chamado KomeX foi identificado em fóruns de cibercrime, sendo promovido por um ator de ameaças conhecido como Gendirector. Baseado no código BTMOB, o KomeX é oferecido em diferentes pacotes de assinatura, refletindo a evolução do malware móvel em um mercado subterrâneo orientado por serviços. O malware promete controle total do dispositivo infectado, permitindo a execução de funções como ativação de câmera e microfone, interceptação de SMS, acesso a arquivos e rastreamento de geolocalização. Um dos recursos mais destacados é a capacidade de transmitir a tela do dispositivo infectado em tempo real, com até 60 quadros por segundo. O KomeX é comercializado em três níveis de assinatura: $500 por um mês, $1.200 por acesso vitalício e $3.000 pelo código-fonte completo. Essa estrutura de preços sugere que o desenvolvedor visa não apenas operadores de cibercrime, mas também outros atores que desejam rebrandear ou expandir a funcionalidade do RAT. Especialistas em segurança alertam que, se operacional, o KomeX pode ampliar significativamente o alcance de campanhas de espionagem móvel, recomendando que os usuários evitem a instalação de aplicativos de fontes não verificadas e mantenham atualizações de segurança regulares.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança descobriram um pacote npm malicioso chamado “@acitons/artifact”, que faz typosquatting do legítimo “@actions/artifact”. O objetivo é comprometer repositórios pertencentes ao GitHub. A análise da Veracode revelou que seis versões do pacote, de 4.0.12 a 4.0.17, continham um script pós-instalação que baixava e executava malware. Embora a versão mais recente disponível no npm seja 4.0.10, o autor do pacote, identificado como blakesdev, removeu as versões comprometidas. O pacote foi carregado em 29 de outubro de 2025 e acumulou 31.398 downloads semanais, totalizando 47.405 downloads. Além disso, foi identificado outro pacote malicioso, “8jfiesaf83”, que também foi removido, mas teve 1.016 downloads. O script pós-instalação do pacote malicioso baixa um binário chamado “harness” de uma conta do GitHub que foi excluída, e executa um arquivo JavaScript que verifica variáveis do GitHub Actions, exfiltrando dados para um arquivo de texto em um subdomínio do GitHub. A Veracode classificou o ataque como direcionado, focando em repositórios do GitHub e uma conta de usuário sem atividade pública, possivelmente para testes.

O malware GootLoader voltou a ser uma ameaça significativa, conforme relatado pela Huntress. Desde 27 de outubro de 2025, foram observadas três infecções, com duas delas resultando em invasões diretas e comprometimento de controladores de domínio em menos de 17 horas após a infecção inicial. A nova versão do GootLoader utiliza fontes WOFF2 personalizadas para ofuscar nomes de arquivos, dificultando a análise estática. O malware explora endpoints de comentários do WordPress para entregar cargas úteis em arquivos ZIP criptografados com XOR, cada um com chaves únicas. Além disso, a técnica de modificação do arquivo ZIP permite que ele se apresente como um arquivo .TXT inofensivo em ferramentas de análise, enquanto na verdade contém um arquivo JavaScript malicioso. O payload JavaScript é projetado para implantar um backdoor chamado Supper, que permite controle remoto e proxy SOCKS5. O uso de anúncios do Google para direcionar vítimas em busca de modelos legais para sites WordPress comprometidos também foi uma tática observada. A evolução do GootLoader demonstra que os atores de ameaças não precisam de exploits sofisticados, mas sim de ferramentas bem ofuscadas que atendem a seus objetivos.

Pesquisadores da CyberProof e outras equipes de segurança revelaram uma onda de ataques que se espalham pelo WhatsApp, mostrando conexões operacionais e técnicas entre os trojans bancários Maverick e Coyote. Essas campanhas visam principalmente usuários brasileiros, utilizando comunicações legítimas para induzir as vítimas a baixar arquivos ZIP maliciosos. Um exemplo é o arquivo NEW-20251001_152441-PED_561BCF01.zip, que disfarça um atalho como PDF, mas executa uma sequência de comandos ofuscados.

Após a abertura do arquivo, um script PowerShell é ativado, que baixa um segundo payload em .NET, realizando verificações para evitar ambientes de análise. O malware se conecta a servidores de comando e controle, permitindo o roubo de dados e a hijack de sessões do WhatsApp Web. A persistência é garantida através da criação de arquivos em diretórios de inicialização, assegurando a reinfecção após reinicializações.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

A equipe de pesquisa de ameaças da Socket identificou nove pacotes NuGet maliciosos que incorporam cargas destrutivas com ativação programada, representando uma ameaça significativa para desenvolvedores .NET e sistemas de controle industrial (ICS). Publicados sob o pseudônimo shanhai666 entre 2023 e 2024, esses pacotes utilizam padrões legítimos para ocultar códigos de sabotagem que podem encerrar aplicações ou corromper operações anos após a instalação. Cada pacote malicioso contém cerca de 20 linhas de lógica destrutiva em meio a milhares de linhas de funcionalidade legítima. Após datas de ativação predefinidas, como 8 de agosto de 2027 e 29 de novembro de 2028, há uma probabilidade de 20% de que o código chame Process.GetCurrentProcess().Kill(), resultando em falhas abruptas nas aplicações. O pacote mais perigoso, Sharp7Extend, ataca sistemas de comunicação Siemens S7 PLC, podendo interromper processos e sabotando operações de gravação sem que os operadores percebam erros visíveis. A campanha, que já acumulou quase 9.500 downloads, utiliza táticas de typosquatting e evasão de IA para evitar detecções automáticas, tornando a identificação e a atribuição de responsabilidade extremamente difíceis. As organizações são aconselhadas a auditar projetos imediatamente e a implementar ferramentas de verificação de dependências para mitigar esses riscos.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.