Desde novembro de 2023, uma operação de cibersegurança chamada REF1695 tem explorado instaladores falsos para implantar trojans de acesso remoto (RATs) e mineradores de criptomoedas. Os pesquisadores da Elastic Security Labs identificaram que, além do cryptomining, os atacantes monetizam as infecções através de fraudes CPA (Custo Por Ação), redirecionando as vítimas para páginas de bloqueio de conteúdo sob a aparência de registro de software. As versões mais recentes da campanha também entregaram um implante .NET inédito, denominado CNB Bot, que utiliza um arquivo ISO como vetor de infecção. Este loader invoca o PowerShell para configurar exclusões amplas no Microsoft Defender, permitindo que o CNB Bot opere em segundo plano, enquanto o usuário é enganado por uma mensagem de erro. O CNB Bot é capaz de baixar e executar cargas adicionais, atualizar-se e realizar ações de limpeza para ocultar suas atividades. A operação já acumulou 27,88 XMR (aproximadamente R$ 9.392) em quatro carteiras rastreadas, evidenciando o retorno financeiro consistente para os atacantes. Além disso, a infraestrutura de comando e controle (C2) dos atacantes abusa do GitHub como uma rede de entrega de conteúdo, hospedando binários em contas confiáveis, o que dificulta a detecção.
Fonte: https://thehackernews.com/2026/04/researchers-uncover-mining-operation.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
02/04/2026 • Risco: ALTO
MALWARE
Operação REF1695 usa instaladores falsos para implantar malware
RESUMO EXECUTIVO
A operação REF1695 representa uma ameaça significativa para organizações no Brasil, utilizando métodos avançados para implantar malware e explorar fraudes. A capacidade de gerar receita substancial através de atividades maliciosas destaca a necessidade de vigilância e mitigação eficazes por parte das empresas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Perdas financeiras diretas devido a fraudes e custos de mitigação de incidentes.
Operacional
Acúmulo de 27,88 XMR em carteiras rastreadas, indicando sucesso financeiro da operação.
Setores vulneráveis
['Tecnologia da informação', 'Finanças', 'Educação']
📊 INDICADORES CHAVE
27,88 XMR acumulados (aproximadamente R$ 9.392)
Indicador
Uso de dois perfis do GitHub para hospedagem de binários maliciosos.
Contexto BR
Implantação de múltiplos tipos de malware, incluindo CNB Bot e PureMiner.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de segurança e atividades suspeitas em sistemas que possam ter sido comprometidos.
2
Implementar políticas de segurança mais rigorosas para downloads e execuções de software não reconhecido.
3
Monitorar continuamente as comunicações de rede para detectar atividades relacionadas a C2 e downloads de binários suspeitos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação das operações de malware que utilizam técnicas de engenharia social e exploração de vulnerabilidades em software amplamente utilizado.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados dos usuários.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
