Esteganografia

Pesquisadores da Veracode identificaram um novo malware, o trojan de acesso remoto (RAT) Pulsar, que se disfarça em pacotes npm maliciosos, utilizando imagens PNG para ocultar seu código. Este malware é projetado para evitar a detecção de antivírus e enganar os usuários, dando a impressão de ser um repositório comum. O processo de instalação é complexo e inicia-se quando um usuário executa um comando npm install, que baixa um downloader que se conecta à pasta de inicialização do Windows. O código do malware é ofuscado, dificultando sua identificação, e utiliza esteganografia para esconder comandos maliciosos em pixels de imagens. O RAT é capaz de obter privilégios de administrador e manipular processos do Windows, fazendo com que pareçam legítimos. A Veracode recomenda que desenvolvedores fiquem atentos ao pacote buildrunner-dev e bloqueiem a URL associada ao malware. Este incidente destaca a necessidade de vigilância constante e atualização de medidas de segurança em ambientes de desenvolvimento.

Pesquisadores de cibersegurança revelaram detalhes sobre um ataque cibernético que visou uma grande empresa imobiliária dos EUA, utilizando um novo framework de comando e controle (C2) chamado Tuoni. O ataque ocorreu em meados de outubro de 2025 e, segundo a Morphisec, os invasores provavelmente usaram engenharia social por meio de uma imitação no Microsoft Teams para obter acesso inicial. Os atacantes se passaram por fornecedores ou colegas de confiança para induzir um funcionário a executar um comando PowerShell. Esse comando baixou um segundo script PowerShell de um servidor externo, que utilizou técnicas de esteganografia para ocultar um payload dentro de uma imagem bitmap. O objetivo principal era extrair e executar shellcode diretamente na memória, resultando na execução do ‘TuoniAgent.dll’, que permitiu o controle remoto da máquina alvo. Embora o ataque tenha sido frustrado, ele evidencia o uso indevido de ferramentas de red teaming para fins maliciosos. A Morphisec também observou que o mecanismo de entrega do ataque apresentava indícios de assistência de inteligência artificial na geração de código, refletindo uma tendência preocupante no uso de tecnologias emergentes para atividades ilícitas.

O Beijing Institute of Electronics Technology and Application (BIETA) é uma empresa chinesa que, segundo investigações, estaria sob a liderança do Ministério da Segurança do Estado (MSS) da China. A análise aponta que pelo menos quatro funcionários da BIETA têm vínculos diretos ou indiretos com oficiais do MSS, além de conexões com a Universidade de Relações Internacionais, conhecida por suas ligações com o MSS. A BIETA e sua subsidiária, Beijing Sanxin Times Technology Co., Ltd. (CIII), desenvolvem tecnologias que supostamente apoiam missões de inteligência e segurança nacional da China, incluindo métodos de esteganografia para comunicações secretas e ferramentas de investigação forense. A empresa também tem se envolvido em projetos que permitem monitorar e bloquear dispositivos móveis em grandes eventos, além de desenvolver softwares para simulação de comunicação e testes de penetração em sistemas. A Mastercard, que analisou a situação, sugere que a BIETA e a CIII são organizações de fachada que facilitam operações de inteligência cibernética do governo chinês. Essa revelação surge em um contexto de crescente preocupação com a segurança cibernética e a espionagem, especialmente em relação a tecnologias amplamente utilizadas no Brasil.

Uma significativa campanha de fraudes publicitárias, denominada SlopAds, foi desmantelada pela Google após a identificação de 224 aplicativos maliciosos na Play Store. Esses aplicativos, que foram baixados mais de 38 milhões de vezes globalmente, eram capazes de gerar até 2,3 milhões de pedidos de publicidade diariamente. A equipe de segurança Satori Threat Intelligence, da empresa HUMAN, revelou que os hackers utilizavam técnicas sofisticadas, como esteganografia, para esconder códigos maliciosos em arquivos de imagem. Os aplicativos funcionavam normalmente quando baixados diretamente da loja, mas, ao serem obtidos via anúncios, baixavam um arquivo de configuração secreto que continha o malware FatModule. Este vírus utilizava WebViews para inundar os dispositivos com anúncios fraudulentos, gerando cliques e visualizações para os criminosos. O Brasil, afetado em 7% dos casos, é um dos países mais impactados, ao lado dos Estados Unidos e Índia. Após o alerta, a Google removeu os aplicativos maliciosos e atualizou o Google Play Protect para alertar os usuários sobre a necessidade de remoção imediata dos apps infectados.

Uma operação massiva de fraude publicitária, conhecida como SlopAds, foi identificada, envolvendo um conjunto de 224 aplicativos que atraíram 38 milhões de downloads em 228 países. Segundo o relatório da equipe de pesquisa da HUMAN, esses aplicativos utilizam esteganografia e criam WebViews ocultos para direcionar usuários a sites controlados pelos criminosos, gerando impressões e cliques fraudulentos em anúncios. Durante seu pico, a operação gerou 2,3 bilhões de solicitações de lances por dia, com a maior parte do tráfego proveniente dos EUA (30%), Índia (10%) e Brasil (7%). A fraude é ativada apenas quando o aplicativo é baixado após um clique em um anúncio, o que leva à instalação de um módulo de fraude chamado FatModule. Este módulo é disfarçado em arquivos PNG, que ocultam o APK e coletam informações do dispositivo. A HUMAN também destacou que a operação SlopAds representa um aumento na sofisticação das fraudes publicitárias móveis, complicando a detecção ao misturar tráfego malicioso com dados legítimos. O Google já removeu os aplicativos envolvidos da Play Store, interrompendo a ameaça.

Pesquisadores do grupo Trail of Bits revelaram uma nova vulnerabilidade que permite a hackers roubar dados de usuários ao injetar comandos maliciosos em imagens processadas por sistemas de inteligência artificial (IA), como o Gemini da Google. A técnica utiliza esteganografia, onde instruções invisíveis ao olho humano são incorporadas em imagens de alta resolução. Quando essas imagens são redimensionadas por algoritmos de IA, os comandos ocultos podem se tornar visíveis e ser interpretados como parte das solicitações do usuário.