Infostealer

Pesquisadores de segurança da Hudson Rock relataram o primeiro ataque de malware infostealer direcionado ao OpenClaw, um assistente de IA de código aberto. O ataque resultou na exfiltração de arquivos de configuração que contêm segredos sensíveis, como chaves de API e tokens de autenticação, que podem permitir acesso a aplicativos conectados, como Telegram e calendários. O OpenClaw, que permite a automação de tarefas, exige que os usuários forneçam essas informações para funcionar corretamente. A Hudson Rock observou que os hackers não estavam atacando diretamente o OpenClaw, mas sim utilizando um infostealer para coletar o máximo de arquivos sensíveis possível do sistema comprometido. Os pesquisadores alertam que, à medida que o OpenClaw se torna mais popular, a probabilidade de ataques direcionados a esses dados aumentará, com a possibilidade de que desenvolvedores de malware criem módulos específicos para decifrar e extrair informações de assistentes de IA. Essa evolução no comportamento dos infostealers representa um risco crescente para fluxos de trabalho profissionais que dependem de assistentes de IA.

Pesquisadores de cibersegurança revelaram uma nova campanha chamada SmartLoader, que utiliza uma versão trojanizada de um servidor do Modelo de Contexto de Protocolo (MCP) associado à Oura Health para distribuir um infostealer conhecido como StealC. Os atacantes clonaram um servidor legítimo da Oura, que conecta assistentes de IA aos dados de saúde do Oura Ring, e criaram uma infraestrutura enganosa com repositórios falsos no GitHub para dar credibilidade ao ataque. O objetivo é roubar credenciais, senhas de navegadores e dados de carteiras de criptomoedas. A campanha, que começou a ser destacada em 2024, utiliza repositórios disfarçados como cheats de jogos e software pirata para atrair vítimas. A análise mais recente mostra que os atacantes investiram meses para construir uma rede de contas e repositórios falsos antes de lançar o malware. O ataque é realizado em quatro etapas, culminando na submissão do servidor trojanizado ao mercado MCP, onde usuários desavisados podem encontrá-lo entre opções legítimas. As organizações são aconselhadas a revisar a segurança dos servidores MCP instalados e monitorar tráfego suspeito para mitigar essa ameaça.

A crescente adoção do assistente de IA OpenClaw tem gerado preocupações de segurança, especialmente após a detecção de malware que rouba arquivos associados a essa ferramenta. O OpenClaw, que opera localmente e mantém um ambiente de configuração persistente, permite acesso a arquivos locais e interação com serviços online. Recentemente, a Hudson Rock documentou um caso em que um infostealer conseguiu extrair dados sensíveis do OpenClaw, incluindo chaves de API e tokens de autenticação. Os arquivos comprometidos, como openclaw.json e device.json, contêm informações críticas que podem permitir a um atacante se passar pelo dispositivo da vítima e acessar serviços em nuvem. A Hudson Rock alerta que essa é uma evolução significativa no comportamento de infostealers, que agora estão mirando na identidade digital dos assistentes pessoais de IA. Além disso, uma vulnerabilidade severa foi descoberta em um assistente de IA semelhante, o Nanobot, que poderia permitir que atacantes assumissem sessões do WhatsApp. Com a popularidade crescente do OpenClaw, espera-se que os infostealers continuem a focar nessa ferramenta, aumentando o risco para os usuários.

Pesquisadores em cibersegurança identificaram um caso de infecção por malware que conseguiu exfiltrar dados de configuração do ambiente OpenClaw, uma plataforma de inteligência artificial. Este incidente representa uma evolução significativa no comportamento de infostealers, que agora estão focando na coleta de identidades e informações sensíveis de agentes de IA, em vez de apenas credenciais de navegadores. O malware, possivelmente uma variante do Vidar, utilizou uma rotina de captura de arquivos para acessar dados críticos, incluindo tokens de autenticação e diretrizes operacionais dos agentes. A captura do token de autenticação pode permitir que atacantes se conectem remotamente ao OpenClaw da vítima. Além disso, a plataforma OpenClaw enfrenta problemas de segurança, como a exposição de instâncias que podem levar a riscos de execução remota de código (RCE). A crescente popularidade do OpenClaw, que já conta com mais de 200 mil estrelas no GitHub, torna-o um alvo atraente para ataques de cadeia de suprimentos. A situação é agravada por campanhas de habilidades maliciosas que burlam a detecção de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

A Microsoft identificou um aumento alarmante de ataques de infostealers direcionados ao sistema operacional macOS, uma prática que antes se concentrava principalmente em usuários do Windows. Desde o final de 2025, hackers têm utilizado uma combinação de engenharia social, correções falsas e arquivos DMG maliciosos para disseminar malware. O infostealer, que opera em conjunto com ferramentas como DigitStealer, MacSync e Atomic Stealer, é capaz de contornar as barreiras de segurança do macOS e roubar informações sensíveis, como senhas e dados bancários. Os ataques são frequentemente facilitados por meio de sites falsos promovidos em anúncios do Google e e-mails de phishing que induzem as vítimas a instalar o software malicioso. Além disso, a linguagem de programação Python tem sido utilizada para desenvolver esses malwares, aumentando a eficácia dos ataques. A situação é preocupante, pois os criminosos não apenas coletam dados, mas também apagam rastros digitais, dificultando a detecção de suas atividades. Essa nova onda de ataques representa um risco significativo para usuários de macOS, que historicamente se consideravam menos vulneráveis a esse tipo de ameaça.

A Microsoft emitiu um alerta sobre a crescente ameaça de malware infostealer que agora se expande além das campanhas tradicionais focadas em Windows, atingindo também dispositivos macOS. Segundo um relatório da empresa, os cibercriminosos estão utilizando técnicas de engenharia social e anúncios maliciosos para distribuir instaladores DMG que contêm variantes como DigitStealer, MacSync e AMOS (Atomic macOS Stealer). Esses malwares visam roubar dados sensíveis, incluindo sessões de navegador, credenciais de desenvolvedor e tokens de nuvem, facilitando ataques como sequestro de contas e ransomware.

A Microsoft alertou que ataques de roubo de informações estão se expandindo rapidamente para ambientes macOS, utilizando linguagens de programação multiplataforma como Python e explorando plataformas confiáveis para distribuição em larga escala. Desde o final de 2025, campanhas de infostealers direcionadas ao macOS têm utilizado técnicas de engenharia social, como o ClickFix, para distribuir instaladores maliciosos que implantam famílias de malware como Atomic macOS Stealer (AMOS) e DigitStealer. Esses ataques frequentemente começam com anúncios maliciosos, muitas vezes veiculados pelo Google Ads, que redirecionam usuários em busca de ferramentas populares para sites falsos, levando-os a infectar suas próprias máquinas. Os atacantes têm utilizado execução sem arquivos e automação via AppleScript para facilitar o roubo de dados, incluindo credenciais de navegadores e informações financeiras. A Microsoft identificou campanhas específicas, como a do PXA Stealer, que coleta dados sensíveis através de e-mails de phishing. Para mitigar esses riscos, as organizações devem educar seus usuários sobre ataques de engenharia social e monitorar atividades suspeitas.

O artigo destaca o crescente problema de infostealers, um tipo de malware que se infiltra em dispositivos através de downloads de mods e cheats de jogos, como Roblox e Minecraft. Muitas vezes, as crianças, em busca de melhorar a performance de seus jogos, baixam arquivos aparentemente inofensivos que, na verdade, contêm malware. Esse infostealer pode roubar dados sensíveis, como senhas de navegadores, tokens de autenticação e credenciais de VPN, comprometendo não apenas a segurança pessoal, mas também a segurança corporativa quando esses dispositivos são usados para acessar redes de trabalho. A pesquisa revela que mais de 40% das infecções por infostealers estão relacionadas a arquivos de jogos. O comportamento dos jovens gamers, que frequentemente desativam antivírus e confiam em links de terceiros, torna-os alvos ideais para esses ataques. O artigo alerta que a infecção pode ocorrer em casa, mas as consequências podem ser sentidas nas empresas, uma vez que as credenciais corporativas podem ser acessadas através de dispositivos infectados. Portanto, é crucial que pais e empresas estejam cientes desse risco e adotem medidas de proteção adequadas.

Uma nova campanha de cibersegurança, identificada por pesquisadores da BlackPoint, utiliza um ataque conhecido como ClickFix para explorar scripts do Microsoft Application Virtualization (App-V) e distribuir malware. Os hackers, supostamente norte-coreanos, implementam um CAPTCHA falso que induz a vítima a executar um comando malicioso via PowerShell, resultando na instalação de um infostealer chamado ‘Amatera’. Este malware é projetado para coletar informações sensíveis do usuário, incluindo dados do navegador. A operação é alarmante devido à evolução contínua do Amatera, que se torna mais sofisticado com cada atualização. O ataque começa com uma falsa verificação de CAPTCHA, que instrui o usuário a colar e executar um comando que ativa um script legítimo do App-V, camuflando a atividade maliciosa. Após a execução, o malware se conecta a um arquivo do Google Agenda para recuperar dados codificados e inicia um processo oculto que carrega o infostealer diretamente na memória do dispositivo. Especialistas recomendam que os usuários restrinjam o acesso à função ‘Executar’ do Windows e removam componentes do App-V quando não forem necessários, a fim de mitigar os riscos associados a essa ameaça.

Uma nova campanha de cibersegurança combina o método ClickFix com um CAPTCHA falso e um script assinado do Microsoft Application Virtualization (App-V) para entregar o malware infostealer Amatera. O script do App-V atua como um binário de ’living-off-the-land’, disfarçando a atividade maliciosa ao usar um componente confiável da Microsoft. A campanha inicia-se com um CAPTCHA que solicita que a vítima cole e execute um comando no Windows Run. Esse comando abusa do script legítimo SyncAppvPublishingServer.vbs, que normalmente é utilizado para gerenciar aplicações virtualizadas. O malware, uma versão em desenvolvimento do ACR infostealer, coleta dados de navegadores e credenciais. Durante a execução, ele verifica se está sendo analisado em um ambiente seguro, utilizando técnicas como espera infinita para evitar detecções. O ataque também utiliza esteganografia para ocultar cargas úteis em imagens PNG, que são extraídas e executadas em memória. Para se proteger contra esses ataques, recomenda-se restringir o acesso ao Windows Run, remover componentes do App-V desnecessários e monitorar conexões de saída. A Amatera é classificada como um malware como serviço (MaaS), tornando-se uma ameaça crescente no cenário de segurança cibernética.

Os infostealers são malwares projetados para roubar informações sensíveis de sistemas infectados, operando de forma discreta e silenciosa. Ao contrário de ransomwares, que sequestram dados, os infostealers se concentram em coletar credenciais, como nomes de usuário e senhas, armazenadas em navegadores como Google Chrome e Firefox. Esses dados são enviados para servidores controlados por cibercriminosos, permitindo acesso a contas de e-mail e redes sociais sem a necessidade de autenticação adicional.

O SantaStealer é um novo malware do tipo ladrão de informações (infostealer) que está sendo comercializado em fóruns de hackers e no Telegram. Ele é uma versão rebranded do BluelineStealer e foi identificado por pesquisadores da Rapid7. O malware opera diretamente na memória do sistema, dificultando sua detecção. Com uma assinatura básica custando US$ 175 por mês, o SantaStealer oferece 14 módulos de coleta de dados, permitindo o roubo de informações de navegadores, senhas, cookies, histórico, contas de aplicativos como Telegram e Discord, além de documentos e dados de criptomoedas. Os dados são enviados para um servidor de comando e controle em pacotes de 10 MB. Embora tenha capacidades avançadas, o malware ainda não está totalmente operacional e não é amplamente distribuído. Os pesquisadores alertam sobre métodos de ataque como phishing e comandos colados no terminal do Windows, recomendando cautela ao abrir links e anexos suspeitos.

A Seqrite Labs, empresa de cibersegurança, identificou uma nova campanha de phishing chamada Operação MoneyMount-ISO, que visa instituições financeiras e contábeis, principalmente na Rússia. Os atacantes enviam e-mails que aparentam ser confirmações de pagamento, mas contêm arquivos ISO disfarçados. Esses arquivos, ao serem abertos, instalam um malware conhecido como Phantom Stealer, que é capaz de roubar informações sensíveis, como dados de carteiras de criptomoeda, senhas, cookies e detalhes de cartões de crédito. O malware também monitora a área de transferência do usuário e as teclas pressionadas, além de evitar a execução em ambientes virtuais. Os dados coletados são enviados aos criminosos via Telegram ou Discord, e um servidor FTP é utilizado para transferir arquivos. Recentemente, outra campanha semelhante afetou setores de recursos humanos e pagamentos, utilizando um malware diferente chamado DUPERUNNER. A Intrinsec, uma empresa de cibersegurança, sugere que muitos desses ataques estão relacionados a hackativistas ucranianos visando o setor financeiro russo, em meio ao conflito entre os dois países.

Rumores no monitoramento de cibercrime indicam uma interrupção significativa na infraestrutura do Hadamanthys Stealer, um malware que rouba informações. Relatos sugerem que seus domínios onion e painéis de controle estão offline, possivelmente devido a uma operação coordenada de aplicação da lei. Analistas de inteligência de ameaças, como Gi7w0rm e g0njxa, acreditam que a infraestrutura do Hadamanthys pode ter sido apreendida, levando os administradores a aconselharem os usuários a ‘pausar todo o trabalho’ e reinstalar seus servidores. Essa situação é consistente com padrões observados em operações anteriores contra ecossistemas cibercriminosos, onde a inatividade dos domínios e avisos administrativos indicam instabilidade e possíveis compromissos. O Hadamanthys, que se destacou como uma plataforma de Malware-as-a-Service (MaaS) em 2024-2025, permitia que atores de ameaças comprassem e gerenciassem hosts infectados globalmente. A apreensão de sua infraestrutura pode causar um impacto significativo no mercado de infostealers, embora a recuperação parcial ou rebranding sob um novo nome seja uma possibilidade em um futuro próximo.

Pesquisadores da Netskope identificaram que a ferramenta de código aberto RedTiger, originalmente desenvolvida para testes de segurança, está sendo utilizada por hackers para criar um infostealer que rouba dados de contas do Discord e informações de pagamento. O malware, que também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e informações de jogos como Roblox, é disseminado através de canais do Discord, sites maliciosos e vídeos no YouTube, disfarçado como mods ou boosters. A RedTiger permite a interceptação de dados do sistema, incluindo senhas e cookies, e injeta JavaScript no Discord para capturar eventos como tentativas de login e compras. Os dados coletados são enviados para os hackers via GoFile, um serviço de armazenamento em nuvem anônimo. A Netskope alerta que usuários franceses do Discord estão sendo os principais alvos, e recomenda que, em caso de suspeita de infecção, os usuários revoguem tokens, troquem senhas e reinstalem o aplicativo a partir do site oficial. A situação destaca a vulnerabilidade de usuários em plataformas populares e a necessidade de medidas de segurança robustas.

A Check Point Research revelou a existência da YouTube Ghost Network, uma campanha sofisticada de distribuição de malware que explora os mecanismos de confiança da plataforma. Desde 2021, mais de 3.000 vídeos maliciosos foram identificados, com um aumento significativo em 2025, triplicando o número de uploads maliciosos em comparação aos anos anteriores. A operação utiliza contas comprometidas divididas em três papéis principais: uploaders de vídeo, publicadores de postagens e impulsionadores de interação. Os vídeos frequentemente promovem softwares piratas e instruem os usuários a desativar o Windows Defender antes da instalação. Após a interrupção do infostealer Lumma, os operadores rapidamente migraram para o Rhadamanthys, utilizando servidores de comando e controle rotativos para evitar detecções. A análise dos vídeos revelou um padrão de ataque focado em categorias de alto tráfego, como ‘Game Hacks/Cheats’ e ‘Software Cracks/Piracy’. Embora a Check Point tenha conseguido derrubar muitos desses vídeos, a necessidade de uma colaboração coordenada entre operadores de plataformas, fornecedores de segurança e autoridades é crucial para combater futuras operações da Ghost Network.

Pesquisadores da Infoblox revelaram uma campanha de malware chamada DetourDog, que comprometeu mais de 30.000 sites sem que os usuários percebessem. O ataque se aproveitou de servidores desprotegidos, utilizando um malware que redireciona visitantes para sites maliciosos. As requisições de DNS são feitas pelo próprio site comprometido, tornando o ataque invisível para as vítimas. Os usuários são redirecionados para sites que hospedam um infostealer conhecido como Strela Stealer, que rouba credenciais de diversas fontes, incluindo e-mails. O Strela Stealer, que evoluiu desde sua primeira identificação em 2022, se comunica com servidores de comando e controle para coletar dados e receber atualizações. Embora a Infoblox não tenha atribuído o ataque a um grupo específico, a origem pode estar relacionada a países do leste europeu, dado o significado da palavra ‘Strela’. As organizações são aconselhadas a auditar suas configurações de DNS e monitorar tráfego incomum para se protegerem contra esse tipo de ameaça.

Pesquisadores identificaram 18 amostras distintas do Acreed, um infostealer avançado que está se tornando popular entre redes de cibercriminosos. A arquitetura do Acreed é notável por seu mecanismo inovador de recuperação de comando e controle (C2), que utiliza tanto a BNB Smartchain Testnet quanto a plataforma de jogos Steam como resolutores de dead drop. Ao embutir instruções criptografadas em transações de blockchain e chamadas legítimas da API do Steam, os atacantes garantem comunicações C2 resilientes que se misturam ao tráfego de rede benigno.