Malware

Uma nova vulnerabilidade no sistema de convites do Discord está sendo explorada por cibercriminosos para roubar dados e assumir o controle remoto de dispositivos. Os hackers sequestram links de convites expirados, redirecionando usuários para servidores fraudulentos. Ao clicarem em links antigos, as vítimas são levadas a um canal de verificação, onde um bot as instrui a executar um comando PowerShell malicioso. Essa técnica, chamada ‘ClickFix’, simula um erro e induz os usuários a copiar e colar o comando, resultando em uma infecção em múltiplos estágios que evita a detecção por antivírus. Os malwares envolvidos incluem AsyncRAT, Skuld Stealer e ChromeKatz. A campanha já resultou em mais de 1.300 downloads de arquivos maliciosos, afetando usuários em países como Estados Unidos, Reino Unido e França. Para se proteger, recomenda-se desconfiar de links antigos e não executar comandos desconhecidos. Administradores de servidores devem optar por links de convite permanentes, que são mais seguros contra sequestros.

Pesquisadores da Cofense alertam que ataques de phishing estão se tornando cada vez mais sofisticados, utilizando personalização para enganar os destinatários. Os criminosos inserem nomes, empresas e outros detalhes nos assuntos e conteúdos das mensagens para aumentar a legitimidade percebida, o que eleva as chances de que as vítimas abram anexos maliciosos ou cliquem em links perigosos. A análise de um ano de dados revelou que 21,9% dos e-mails com assuntos personalizados estavam relacionados a fraudes financeiras, frequentemente disfarçados como faturas ou resumos de pagamento, e carregando o jRAT, um trojan de acesso remoto que permite controle total do sistema. Além disso, 36,78% dos ataques estavam associados a temas de viagens, utilizando o Vidar Stealer, enquanto 30,58% eram e-mails de resposta, frequentemente contendo o PikaBot. Para mitigar esses riscos, a Cofense recomenda a verificação de e-mails inesperados por meio de canais confiáveis e a atualização constante de ferramentas de segurança. A personalização nos e-mails de phishing é uma tática eficaz que pode levar a infecções bem-sucedidas, especialmente em contextos corporativos onde a comunicação financeira é comum.

Pesquisadores de cibersegurança da JPCERT/CC descobriram uma campanha de ataque sofisticada que utiliza o CrossC2, uma ferramenta não oficial que permite ao framework Cobalt Strike operar em sistemas Linux e macOS. Entre setembro e dezembro de 2024, os atacantes utilizaram essa capacidade multi-plataforma junto com um malware personalizado chamado ‘ReadNimeLoader’ para penetrar ambientes de Active Directory em diversos países, indicando uma evolução significativa nas ameaças cibernéticas. O CrossC2 expande as capacidades do Cobalt Strike, tradicionalmente focadas em Windows, para sistemas Unix, sendo compatível com arquiteturas x86 e x64 em Linux e dispositivos macOS baseados em Intel e M1. O malware ReadNimeLoader, escrito na linguagem Nim, atua como um carregador para os beacons do Cobalt Strike, empregando uma cadeia de execução complexa que inclui técnicas de evasão para evitar a detecção. A investigação sugere uma possível conexão com o grupo de ransomware BlackBasta, evidenciada por domínios de C2 associados e metodologias de ataque semelhantes. A campanha destaca a crescente tendência de atores de ameaças que expandem suas capacidades operacionais além dos ambientes Windows, tornando os servidores Linux alvos atraentes devido à falta de soluções robustas de detecção e resposta. A JPCERT/CC lançou uma ferramenta de análise para ajudar profissionais de segurança a examinar amostras do CrossC2, sublinhando a necessidade de monitoramento aprimorado em ambientes multi-plataforma.

Pesquisadores da Cisco Talos descobriram um novo framework de malware chamado PS1Bot, que se destaca por suas capacidades de infecção e persistência em dispositivos. O PS1Bot é distribuído por meio de campanhas de malvertising e SEO poisoning, que induzem usuários desavisados a baixar o malware. Uma vez instalado, ele pode atuar como um infostealer, keylogger e screen grabber, coletando dados sensíveis como informações de carteiras de criptomoedas. O malware utiliza um arquivo ZIP que contém um payload em JavaScript, que atua como um dropper, baixando um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2), permitindo que os atacantes enviem comandos adicionais para o malware. O PS1Bot é modular, o que significa que pode ser atualizado rapidamente para incluir novas funcionalidades. A implementação do módulo de roubo de informações utiliza listas de palavras para identificar arquivos que contêm senhas e frases-semente, que são então exfiltradas. A natureza flexível do PS1Bot representa uma ameaça significativa, especialmente para usuários que não adotam práticas de segurança cibernética rigorosas.

Um novo relatório de inteligência sobre ameaças revela que cibercriminosos estão utilizando táticas de personalização em campanhas de phishing para disseminar malware de forma mais eficaz. Entre o terceiro trimestre de 2023 e o terceiro trimestre de 2024, as campanhas de phishing se tornaram mais sofisticadas, utilizando informações específicas dos destinatários para criar uma ilusão de autenticidade. Os temas mais comuns incluem assistência de viagem, que representou 36,78% dos e-mails maliciosos, e finanças, com 21,90%. O malware Vidar Stealer, que coleta dados sensíveis como credenciais de login e informações bancárias, é frequentemente utilizado nessas campanhas. Além disso, o PikaBot e o jRAT são exemplos de malwares que têm se destacado, com técnicas avançadas para evitar detecções. A análise também aponta que a maioria dos incidentes de ransomware no segundo trimestre de 2025 teve origem em compromissos de acesso remoto ou ataques de phishing. Essa personalização transforma tentativas genéricas de phishing em campanhas de engenharia social direcionadas, aumentando significativamente as chances de infecções bem-sucedidas e comprometimento organizacional.

A Cisco Talos identificou uma nova e sofisticada campanha de malware, chamada PS1Bot, que tem como alvo sistemas Windows e está em operação ativa ao longo de 2025. Este malware, baseado em PowerShell e C#, representa uma evolução significativa nas capacidades de roubo de informações, focando especialmente em carteiras de criptomoedas e dados financeiros sensíveis. O PS1Bot utiliza uma arquitetura modular que permite a execução de componentes especializados, como captura de tela, keylogging e coleta de informações, tudo isso mantendo um perfil discreto ao executar suas operações na memória, sem deixar vestígios no disco rígido.

Pesquisadores de cibersegurança identificaram o PhantomCard, um sofisticado Trojan baseado em NFC que visa especificamente clientes bancários brasileiros, com potencial de expansão global. Este malware representa uma evolução nos ataques de relay NFC, seguindo as famílias de malware Ghost Tap e NFSkate, que mudaram o cenário de ameaças móveis desde 2024. O PhantomCard opera estabelecendo um canal de relay entre os cartões de pagamento físicos das vítimas e terminais de ponto de venda (POS) ou caixas eletrônicos controlados por fraudadores. O software malicioso se disfarça como aplicativos de ‘Proteção de Cartões’, distribuídos por páginas falsas do Google Play, e, uma vez instalado, solicita que os usuários aproximem seus cartões do dispositivo para ‘verificação’. O malware é projetado para cartões EMV e utiliza uma biblioteca específica para decifrar dados de comunicação. A origem do PhantomCard está ligada à plataforma chinesa NFU Pay, que permite a personalização do malware para distribuição local, o que representa um risco global significativo. As instituições financeiras enfrentam desafios sem precedentes na detecção desses ataques, pois as transações parecem legítimas, originando-se dos cartões reais das vítimas, dificultando a identificação de fraudes.

O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que, entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework é projetado para estender a funcionalidade do Cobalt Strike a plataformas como Linux e macOS, permitindo controle de sistemas de forma cruzada. Os ataques, que afetaram diversos países, incluindo o Japão, foram analisados a partir de artefatos do VirusTotal. Os invasores utilizaram o CrossC2 juntamente com ferramentas como PsExec, Plink e Cobalt Strike para tentar penetrar em redes Active Directory (AD). A investigação revelou que um malware personalizado, denominado ReadNimeLoader, foi utilizado como carregador para o Cobalt Strike. Este carregador, escrito na linguagem Nim, executa código diretamente na memória, evitando deixar rastros no disco. Além disso, a campanha de ataque mostrou sobreposições com atividades de ransomware BlackSuit/Black Basta, destacando a presença de backdoors como o SystemBC. A falta de sistemas de detecção e resposta em muitos servidores Linux torna-os alvos vulneráveis, exigindo atenção redobrada das equipes de segurança.

Pesquisadores de cibersegurança do AhnLab Security Intelligence Center (ASEC) descobriram uma campanha de malware sofisticada que visa usuários que buscam baixar vídeos do YouTube. Essa campanha distribui um tipo de malware conhecido como proxyware, que rouba largura de banda da internet para lucro. O ataque se aproveita do desejo dos usuários de baixar conteúdo do YouTube, criando sites de download falsos que parecem legítimos, mas que servem como pontos de distribuição de malware. Ao tentar baixar vídeos, os usuários são redirecionados para páginas de anúncios ou solicitados a baixar softwares maliciosos disfarçados de ferramentas legítimas.

Pesquisadores de segurança da Zimperium, através do zLabs, descobriram uma vulnerabilidade crítica em frameworks populares de rooting para Android, que pode permitir que aplicativos maliciosos assumam o controle total de dispositivos roteados. A falha, identificada em meados de 2023, explora fraquezas de autenticação em ferramentas como o KernelSU, permitindo acesso irrestrito ao sistema sem o conhecimento do usuário. A vulnerabilidade afeta a versão 0.5.7 do KernelSU, que utiliza técnicas de patching do kernel para fornecer acesso root. O problema central reside em um mecanismo de autenticação falho, que deveria impedir aplicativos não autorizados de acessar interfaces privilegiadas do kernel. Os atacantes podem manipular a ordem dos descritores de arquivos para enganar o kernel, fazendo com que ele leia a assinatura APK do gerenciador legítimo em vez do aplicativo malicioso. A pesquisa indica que vulnerabilidades de autenticação são comuns em frameworks de rooting, com riscos particularmente elevados durante os ciclos de inicialização do dispositivo. A Zimperium oferece soluções de defesa contra ameaças móveis que podem detectar tais compromissos, monitorando o status de rooting dos dispositivos e a presença de malware.

Pesquisadores de cibersegurança descobriram uma nova campanha de malvertising que visa infectar vítimas com um malware de múltiplas etapas chamado PS1Bot. Este malware possui um design modular, permitindo a execução de diversas atividades maliciosas, como roubo de informações, keylogging e acesso persistente ao sistema. A campanha, ativa desde o início de 2025, utiliza malvertising e otimização de mecanismos de busca (SEO) como vetores de propagação. O ataque começa com um arquivo ZIP que contém um payload JavaScript, que baixa um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2) para buscar comandos adicionais, permitindo que os operadores ampliem a funcionalidade do malware. Entre as capacidades do PS1Bot estão a detecção de antivírus, captura de tela, roubo de dados de carteiras de criptomoedas e registro de teclas. A modularidade do PS1Bot facilita atualizações rápidas e a implementação de novas funcionalidades. A Google anunciou que está utilizando inteligência artificial para combater tráfego inválido e melhorar a identificação de anúncios maliciosos, o que pode ajudar a mitigar tais campanhas. A natureza ativa e a complexidade do PS1Bot indicam um risco significativo para usuários e organizações, especialmente no contexto de crescente uso de criptomoedas.

O grupo de ransomware SafePay anunciou ter realizado um ataque ao distrito escolar Ridgefield Public Schools, em Connecticut, estabelecendo um prazo de pouco mais de dois dias para o pagamento do resgate, ameaçando divulgar 90 GB de dados caso suas exigências não fossem atendidas. A escola confirmou que sofreu o ataque em 24 de julho de 2025, informando que suas ferramentas de cibersegurança detectaram tentativas de execução de um vírus de criptografia na rede de computadores. Após identificar essa atividade, a rede foi desconectada para investigar o incidente. Neste momento, a restauração dos sistemas está em andamento, e a escola espera que os professores possam acessar seus e-mails novamente esta semana. Embora RPS tenha confirmado a exigência de um resgate, não divulgou o valor pedido nem se o pagamento foi efetuado. O fato de SafePay ter listado o distrito escolar em seu site sugere que as negociações falharam. O SafePay, que começou a adicionar vítimas ao seu site de vazamento de dados em novembro de 2024, já registrou 278 ataques, sendo 35 confirmados. O ataque a Ridgefield é o sexto a uma instituição educacional realizada pelo grupo. Em 2025, foram registrados 26 ataques confirmados ao setor educacional dos EUA, refletindo um aumento nas ameaças às escolas, faculdades e universidades. O ataque à Ridgefield exemplifica como esses incidentes visam causar desordem, forçando as instituições a pagarem resgates para recuperar o acesso aos seus sistemas.