Kaspersky

A Kaspersky identificou 61 sites fraudulentos que imitam o sistema da Receita Federal, visando aplicar golpes durante o período de declaração do Imposto de Renda 2026. Os golpistas utilizam táticas de phishing para coletar credenciais do Gov.br e disseminar fraudes financeiras. A campanha começou em março, aproveitando o aumento da procura por informações sobre a declaração. Os criminosos criam domínios que exploram palavras-chave relacionadas ao Imposto de Renda, como ‘IRPF’ e ‘regularização’, e enviam e-mails falsos que simulam notificações da Receita Federal, alegando pendências e oferecendo descontos em multas. Para se proteger, especialistas recomendam o uso de canais oficiais da Receita Federal e a ativação da autenticação em duas etapas nas contas do Gov.br. Além disso, é fundamental desconfiar de mensagens suspeitas e acessar diretamente o site da Receita pelo navegador, evitando links de e-mails ou SMS.

Pesquisadores de segurança da Kaspersky alertam sobre o CrystalX RAT, um novo malware como serviço (MaaS) que combina funcionalidades avançadas de espionagem com recursos de ‘prankware’. Este malware permite acesso remoto a sistemas, execução de comandos, roubo de dados e até captura de áudio e vídeo. Além disso, possui características que visam perturbar as vítimas, como alterar papéis de parede e esconder ícones da área de trabalho. O CrystalX RAT é promovido principalmente através do Telegram e YouTube, visando novatos na área de hacking. A Kaspersky observa que o malware já afetou dezenas de vítimas, principalmente na Rússia, e prevê um aumento significativo no número de afetados devido à sua campanha de marketing agressiva. O uso de engenharia social para disseminação do malware, como cracks de software e serviços premium falsos, é uma preocupação crescente. O impacto potencial inclui não apenas o roubo de credenciais, mas também o uso de dados para chantagem, o que representa uma ameaça significativa à privacidade e segurança dos usuários.

O kit de exploração Coruna representa uma evolução do framework utilizado na campanha de espionagem Operation Triangulation, que em 2023 visou iPhones através de exploits zero-click no iMessage. Este novo software foi ampliado para atacar hardware moderno, incluindo os chips A17 e M3 da Apple, e sistemas operacionais até iOS 17.2. O Coruna contém cinco cadeias completas de exploits para iOS, aproveitando 23 vulnerabilidades, incluindo CVE-2023-32434 e CVE-2023-38606, que também foram utilizadas na Operation Triangulation. A análise da Kaspersky revelou que o Coruna é uma versão atualizada do exploit original, com melhorias que permitem a exploração de novas arquiteturas de processadores. Os ataques iniciam no Safari, onde um stager coleta informações do dispositivo e seleciona exploits adequados. A Kaspersky alerta que, além de espionagem, o Coruna tem sido usado em campanhas motivadas financeiramente, visando roubo de criptomoedas. A Apple já lançou atualizações de segurança para mitigar essas vulnerabilidades, mas a ameaça permanece significativa, especialmente com a disponibilidade pública de outros kits de exploração como o DarkSword.

Pesquisadores da Kaspersky identificaram uma nova técnica de phishing que utiliza a plataforma de criação de aplicativos sem código, Bubble, para gerar e hospedar aplicativos maliciosos. Esses aplicativos são hospedados em um domínio legítimo (*.bubble.io), o que dificulta a detecção por soluções de segurança de e-mail. Os criminosos cibernéticos redirecionam os usuários para páginas de phishing que imitam portais de login da Microsoft, frequentemente ocultas por verificações do Cloudflare. As credenciais inseridas nessas páginas falsas são capturadas pelos atacantes, que podem acessar dados sensíveis de contas do Microsoft 365. A plataforma Bubble, que permite a criação de aplicativos por meio de uma interface intuitiva, gera códigos complexos que não são facilmente analisados por ferramentas automatizadas de segurança. Os pesquisadores alertam que essa técnica pode ser adotada por plataformas de phishing como serviço (PhaaS), aumentando a furtividade dos ataques. A Kaspersky entrou em contato com a Bubble para discutir as descobertas, mas não obteve resposta até o momento da publicação.

Um novo backdoor chamado Keenadu foi identificado pela Kaspersky em dispositivos Android, especialmente em firmwares de tablets como o Alldocube iPlay 50 mini Pro. O malware, que se infiltra durante a fase de construção do firmware, permite que atacantes coletem dados e controlem remotamente os dispositivos. A Kaspersky detectou que o Keenadu foi encontrado em atualizações OTA e que ele carrega assinaturas digitais válidas, dificultando sua detecção. O malware injeta um loader em cada aplicativo ao ser iniciado, permitindo acesso a funcionalidades como redirecionamento de buscas e monetização de instalações de aplicativos. Até agora, 13.715 usuários em todo o mundo foram afetados, com a maioria dos casos registrados na Rússia, Japão, Alemanha, Brasil e Países Baixos. A arquitetura cliente-servidor do Keenadu permite que ele execute cargas maliciosas personalizadas, além de contornar permissões de aplicativos, comprometendo a segurança do sistema Android. A descoberta do Keenadu é alarmante, pois representa uma nova forma de ataque que pode afetar a privacidade e a segurança dos usuários de dispositivos Android.

Um novo malware sofisticado para Android, chamado Keenadu, foi descoberto embutido em firmware de várias marcas de dispositivos, permitindo que ele comprometa todos os aplicativos instalados e obtenha controle irrestrito sobre os dispositivos infectados. Segundo a Kaspersky, Keenadu possui múltiplos mecanismos de distribuição, incluindo imagens de firmware comprometidas entregues via OTA, backdoors, aplicativos de sistema modificados e até mesmo aplicativos na Google Play. Até fevereiro de 2026, foram confirmados 13.000 dispositivos infectados, com muitos localizados em países como Rússia, Japão, Alemanha, Brasil e Países Baixos. A variante integrada ao firmware é a mais potente, não se ativando se o idioma ou fuso horário estiver associado à China, o que pode indicar sua origem. Embora os operadores do malware estejam focados em fraudes publicitárias, suas capacidades incluem roubo de dados e ações arriscadas no dispositivo comprometido. A Kaspersky alerta que, devido à profundidade da infecção no firmware, a remoção padrão do Android não é possível, recomendando que os usuários busquem versões limpas do firmware ou considerem substituir o dispositivo por um de fornecedores confiáveis.

A Kaspersky revelou uma nova campanha de phishing que explora o recurso de convites a equipes da OpenAI para roubar dados bancários de usuários. Os hackers, identificados como norte-coreanos, criam contas empresariais falsas que registram links e números de telefone maliciosos, gerando uma falsa sensação de segurança. Utilizando essas contas, eles enviam e-mails fraudulentos a partir de endereços legítimos, pressionando as vítimas a fornecerem informações financeiras. Os e-mails maliciosos frequentemente alegam renovações de assinatura com valores superiores ou oferecem promoções irresistíveis, levando muitos usuários desavisados a cair na armadilha. Além disso, os criminosos também utilizam táticas de vishing, realizando ligações para pressionar as vítimas em tempo real. A Kaspersky recomenda que os usuários desconfiem de convites não solicitados de plataformas da OpenAI e verifiquem cuidadosamente os endereços de e-mail e números de telefone antes de agir.

Com a aproximação do período de volta às aulas, a Kaspersky alerta para o aumento de golpes virtuais que visam enganar consumidores em busca de materiais escolares e uniformes. Os cibercriminosos aproveitam a urgência das compras, criando sites falsos que imitam lojas conhecidas, oferecendo preços muito abaixo do mercado e promoções urgentes. Esses golpes podem ocorrer por meio de SMS, WhatsApp, e-mails e redes sociais, levando os usuários a clicarem em links fraudulentos que podem roubar dados pessoais e bancários. Para se proteger, a Kaspersky recomenda que os consumidores verifiquem sempre a fonte das ofertas, acessem diretamente os sites oficiais das lojas e desconfiem de mensagens inesperadas. Além disso, é importante ficar atento a boletos e pagamentos via Pix, confirmando a legitimidade dos documentos antes de efetuar qualquer transação. Com a crescente digitalização das compras, a conscientização sobre esses riscos é fundamental para evitar prejuízos financeiros.

Um novo malware, denominado Shai Hulud 2.0, foi identificado por especialistas da Kaspersky e está causando preocupação no cenário de cibersegurança. Distribuído através do Node Package Manager (npm), esse worm apresenta um funcionamento em dois estágios. Na primeira fase, ele compromete pacotes npm, enquanto na segunda, se não conseguir roubar dados, apaga arquivos do usuário. Desde sua descoberta em setembro de 2025, mais de 800 pacotes npm foram infectados, afetando principalmente desenvolvedores no Brasil, mas também em países como China, Índia, Rússia, Turquia e Vietnã.

A Kaspersky identificou uma nova campanha de ciberespionagem chamada PassiveNeuron, que visa organizações governamentais, financeiras e industriais na Ásia, África e América Latina. Os ataques foram inicialmente detectados em novembro de 2024, com foco em entidades governamentais na América Latina e na Ásia Oriental. Os invasores utilizam malwares sofisticados, como Neursite e NeuralExecutor, que permitem movimentação lateral na infraestrutura das vítimas e exfiltração de dados. A campanha se destaca pelo uso de servidores internos comprometidos como infraestrutura de comando e controle, dificultando a detecção. Os atacantes têm explorado vulnerabilidades em servidores Windows, possivelmente através de injeções SQL ou força bruta, para implantar backdoors e ferramentas como Cobalt Strike. Desde dezembro de 2024, novas infecções foram observadas, com indícios de que os autores sejam falantes de chinês. A Kaspersky alerta que a campanha é particularmente perigosa devido ao foco em servidores expostos à internet, que são alvos atrativos para ameaças persistentes avançadas (APTs).

O novo trojan bancário chamado Maverick está atacando usuários brasileiros, infectando computadores através de arquivos de atalho do Windows e se espalhando pelo WhatsApp Web. A Kaspersky, que identificou a ameaça, bloqueou mais de 62 mil tentativas de ataque apenas em outubro de 2025. O vírus verifica se a vítima está no Brasil, utilizando informações como fuso horário e idioma do sistema, antes de prosseguir com a infecção. Uma vez instalado, o Maverick tem a capacidade de monitorar o que o usuário digita, tirar capturas de tela e acessar informações de 26 bancos e 6 corretoras de criptomoedas. A infecção ocorre na memória do computador, dificultando a detecção por ferramentas de segurança. O trojan utiliza criptografia AES-256 para ocultar suas operações, indicando uma possível continuidade de campanhas maliciosas anteriores. Para se proteger, recomenda-se desconfiar de arquivos recebidos pelo WhatsApp, evitar clicar em arquivos de atalho de fontes não confiáveis e utilizar aplicativos de segurança.

Pesquisadores de cibersegurança da Kaspersky descobriram que hackers estão utilizando o Skype para disseminar um novo malware chamado GodRAT, que se disfarça como documentos financeiros. O ataque, que afeta principalmente pequenas e médias empresas (PMEs) no Oriente Médio, envolve o uso de arquivos de protetor de tela maliciosos que, por meio de esteganografia, ocultam um código que baixa o GodRAT de um servidor externo. Uma vez instalado, o malware coleta informações do sistema operacional e pode receber plugins adicionais, como exploradores de arquivos e ladrões de senhas. O GodRAT é considerado uma evolução de um malware anterior, o AwesomePuppet, e sua descoberta ressalta a relevância contínua de ferramentas conhecidas no cenário atual de cibersegurança. Embora a Kaspersky não tenha divulgado o número exato de vítimas, enfatizou que a maioria delas está localizada em países como Emirados Árabes Unidos, Hong Kong, Jordânia e Líbano. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger as empresas contra tais ameaças.

Um novo ataque cibernético está direcionando instituições financeiras, como corretoras e empresas de trading, utilizando um trojan de acesso remoto chamado GodRAT. Este malware, que foi identificado pela Kaspersky, se disfarça como arquivos de documentos financeiros, sendo distribuído via Skype na forma de arquivos .SCR (screensaver). Os ataques, que começaram a ser observados em setembro de 2024, utilizam técnicas de esteganografia para ocultar código malicioso dentro de arquivos de imagem, permitindo o download do GodRAT a partir de um servidor de comando e controle (C2).