Cryptojacking

Ameaça de mineração de criptomoedas explora vulnerabilidade do Langflow

Pesquisadores da Trend Micro identificaram uma nova campanha de ataque que explora uma vulnerabilidade crítica no Langflow, especificamente a CVE-2026-33017, que permite execução remota de código (RCE) sem autenticação. O ataque, que ocorreu entre 27 de março e 15 de abril de 2026, utiliza um simples código Python para baixar e executar um minerador de criptomoedas Monero. O malware não apenas desativa processos concorrentes de mineração, mas também remove logs do sistema e altera atributos de arquivos para garantir sua persistência. Além disso, ele se propaga para outros sistemas através de chaves SSH reutilizadas, transformando uma instância exposta do Langflow em um ponto de entrada para compromissos mais amplos. Essa situação destaca a crescente exploração de endpoints de aplicações de inteligência artificial como vetores de ataque em ambientes corporativos. A vulnerabilidade do Langflow, que já foi alvo de outras explorações, como a distribuição do malware Flodrix, evidencia a necessidade urgente de monitoramento e mitigação em sistemas que utilizam essa tecnologia.

Campanha de Cryptojacking Alvo de Computadores de Alto Desempenho

Uma nova campanha de cryptojacking está atacando sistemas com computadores de alto desempenho, utilizando uma operação de envenenamento de SEO coordenada que manipula recomendações de chatbots de IA. Os ataques começam quando usuários buscam por softwares utilitários legítimos, como CrystalDiskInfo e HWMonitor, e são redirecionados para links maliciosos que aparecem nas primeiras posições dos resultados de busca. Após a infecção, os atacantes ganham acesso persistente ao sistema por meio da ferramenta de gerenciamento remoto ScreenConnect, que pode ser usada para instalar malware adicional.

Microsoft alerta sobre campanha ativa de cryptojacking com IA

A Microsoft emitiu um alerta sobre uma campanha ativa de cryptojacking que utiliza interações com chatbots de inteligência artificial (IA) para direcionar usuários a sites de download maliciosos. Segundo a empresa, essa técnica de entrega emergente amplia a engenharia social além dos resultados de busca convencionais, aumentando a visibilidade de recomendações de software malicioso. Os atacantes se passam por utilitários de sistema legítimos, como CrystalDiskInfo e HWMonitor, visando usuários com GPUs de alto desempenho. Além de objetivos financeiros, os criminosos buscam estabelecer acesso remoto persistente aos sistemas comprometidos, utilizando implantações do ScreenConnect para atividades subsequentes, como roubo de dados e movimentação lateral. A campanha se destaca por sua abordagem deliberada, focando em dispositivos que maximizam o rendimento da mineração de criptomoedas. A Microsoft detectou e bloqueou atividades relacionadas a essa campanha, que envolve técnicas de SEO e interação com chatbots para enganar usuários em busca de software confiável.

Campanha de Cryptojacking Usa Software Pirata para Espalhar Malware

Pesquisadores de cibersegurança revelaram uma nova campanha de cryptojacking que utiliza pacotes de software pirata como iscas para implantar um programa minerador XMRig em sistemas comprometidos. A análise do malware indica uma infecção sofisticada em múltiplas etapas, priorizando a maximização da taxa de hash de mineração de criptomoedas, o que pode desestabilizar o sistema da vítima. O ataque começa com engenharia social, onde usuários são enganados a baixar executáveis maliciosos disfarçados de softwares legítimos. O malware possui capacidades semelhantes a vermes, espalhando-se por dispositivos de armazenamento externo e permitindo movimento lateral, mesmo em ambientes isolados. Além disso, ele utiliza um driver vulnerável para escalar privilégios e garantir persistência. A campanha foi projetada para operar até uma data limite específica, 23 de dezembro de 2025, sugerindo um planejamento estratégico por parte dos atacantes. A atividade de mineração foi observada em novembro de 2025, com um pico em dezembro. Este caso destaca a inovação contínua do malware comercial, combinando engenharia social, disfarces de software legítimo e exploração de vulnerabilidades de kernel.

Pacote malicioso no PyPI mina criptomoedas em sistemas Linux

Um novo pacote malicioso, identificado como sympy-dev, foi descoberto no Python Package Index (PyPI) e se disfarça como uma versão de desenvolvimento da popular biblioteca de matemática simbólica, SymPy. Desde sua publicação em 17 de janeiro de 2026, o pacote já foi baixado mais de 1.100 vezes, sugerindo que alguns desenvolvedores podem ter sido enganados. O pacote modificado atua como um downloader para um minerador de criptomoedas XMRig, ativando seu comportamento malicioso apenas quando certas funções polinomiais são chamadas, o que ajuda a evitar a detecção. O pesquisador de segurança Kirill Boychenko explicou que, ao serem invocadas, essas funções alteradas recuperam uma configuração JSON remota e baixam um payload ELF controlado por um ator de ameaça. Este método visa minimizar os artefatos deixados em disco, utilizando técnicas como memfd_create e /proc/self/fd. O objetivo final é minerar criptomoedas em sistemas Linux, utilizando configurações que priorizam mineração por CPU e desativam backends de GPU. A presença contínua do pacote no PyPI representa um risco significativo para desenvolvedores que podem não estar cientes da ameaça.

Malware oculto no KMSAuto infecta quase 3 milhões de PCs

Um homem lituano de 29 anos foi preso por sua suposta participação na infecção de 2,8 milhões de sistemas com um malware disfarçado de KMSAuto, uma ferramenta popular para ativar o Windows e o Microsoft Office sem custos. As autoridades coreanas relataram que o criminoso enganou as vítimas a baixarem um ativador malicioso, que escaneava a área de transferência em busca de credenciais de criptomoeda, substituindo-as por endereços controlados por ele. O ataque resultou em um roubo de 1,7 bilhão de won coreano, equivalente a milhões de reais, através de 8,4 mil transações online. A investigação começou em agosto de 2020, após uma denúncia de cryptojacking, onde o malware alterava endereços de carteiras de criptomoeda sem o conhecimento dos usuários. O caso destaca a crescente ameaça de malware escondido em ferramentas piratas e a necessidade de conscientização sobre os riscos associados ao uso de software não autorizado.

Novo malware utiliza mapa de caracteres do Windows para minerar criptomoedas

Uma nova campanha de cibersegurança identificada pela Darktrace revela um sofisticado malware de criptomineração que utiliza o mapa de caracteres do Windows para se infiltrar em sistemas. Conhecido como cryptojacking, esse tipo de ataque utiliza o poder de processamento dos computadores para minerar criptomoedas em benefício dos hackers. A análise foi conduzida pelas especialistas Keanna Grelicha e Tara Gould, que detectaram um comportamento anômalo em um cliente, indicando a presença de um novo agente PowerShell. O malware, denominado NBMiner, foi introduzido através de um loader Autolt ofuscado, que se disfarça sob camadas de código para evitar a detecção. O ataque se inicia com a execução do programa ‘charmap.exe’, que verifica se ferramentas de segurança estão ativas antes de se conectar a um pool de mineração. Embora inicialmente cause aumento no consumo de energia e lentidão do sistema, o cryptojacking pode levar a problemas mais sérios, como roubo de dados pessoais. A Darktrace conseguiu mitigar a ameaça ao bloquear a conexão do dispositivo infectado com os servidores dos hackers, destacando a importância de medidas de segurança eficazes.

Campanhas de cibersegurança expõem servidores Redis a ataques

Pesquisadores em cibersegurança alertam sobre campanhas que exploram vulnerabilidades conhecidas, expondo servidores Redis a atividades maliciosas, como botnets IoT e mineração de criptomoedas. A exploração da vulnerabilidade CVE-2024-36401, com uma pontuação CVSS de 9.8, permite que criminosos implantem kits de desenvolvimento de software (SDKs) legítimos ou aplicativos modificados para gerar renda passiva através do compartilhamento de rede. Os atacantes têm acessado instâncias do GeoServer expostas na internet desde março de 2025, utilizando um servidor de compartilhamento de arquivos privado para distribuir executáveis personalizados. Esses aplicativos consomem poucos recursos e monetizam a largura de banda dos usuários sem a necessidade de malware tradicional.

Servidores Redis Alvo de Ataque Sofisticado de Cryptojacking

Uma nova análise revela que dezenas de milhares de servidores Redis em todo o mundo estão vulneráveis a uma campanha avançada de cryptojacking, orquestrada pelo grupo de ameaças TA-NATALSTATUS. Este ataque evoluiu para além da simples mineração de criptomoedas, visando a tomada de controle de infraestrutura de forma persistente e furtiva. A campanha explora instâncias Redis expostas para implantar malware sofisticado que oculta processos e ofusca comandos, mantendo persistência a longo prazo por meio de técnicas semelhantes a rootkits.