Malware

A Google anunciou a implementação da proteção Device Bound Session Credentials (DBSC) na versão 146 do Chrome para Windows, com o objetivo de impedir que malwares que roubam informações, como os infostealers, capturem cookies de sessão. Essa nova funcionalidade, que será disponibilizada para usuários de macOS em uma versão futura ainda não anunciada, vincula criptograficamente a sessão do usuário ao hardware específico do dispositivo, utilizando chips de segurança como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS. Com isso, as chaves públicas e privadas geradas pelo chip de segurança não podem ser exportadas, tornando os dados de sessão roubados inúteis para os atacantes. A Google destaca que, sem a chave privada correspondente, qualquer cookie de sessão exfiltrado expira rapidamente, reduzindo significativamente o risco de acesso não autorizado. A empresa também observou uma diminuição notável nos eventos de roubo de sessão durante um ano de testes com o protocolo DBSC, desenvolvido em parceria com a Microsoft e outras plataformas da web. Os desenvolvedores web podem implementar essa nova proteção em seus sistemas, garantindo maior segurança sem comprometer a compatibilidade com as interfaces existentes.

Um novo malware baseado em Lua, chamado LucidRook, está sendo utilizado em campanhas de spear-phishing que visam organizações não governamentais e universidades em Taiwan. Pesquisadores da Cisco Talos atribuíram o malware a um grupo de ameaças conhecido internamente como UAT-10362, caracterizado como um adversário capaz com táticas operacionais maduras. O LucidRook foi observado em ataques em outubro de 2025, onde e-mails de phishing continham arquivos compactados protegidos por senha. Os pesquisadores identificaram duas cadeias de infecção: uma usando um arquivo de atalho LNK que entregou um dropper de malware chamado LucidPawn, e outra baseada em um executável falso de antivírus que se passava por um serviço da Trend Micro. O LucidPawn, por sua vez, descriptografa e implanta um executável legítimo renomeado para imitar o Microsoft Edge, juntamente com uma DLL maliciosa para carregar o LucidRook. O malware é notável por seu design modular e ambiente de execução Lua, permitindo que os operadores atualizem funcionalidades sem modificar o núcleo do malware, além de dificultar a visibilidade forense. Durante a execução, o LucidRook realiza reconhecimento do sistema, coletando informações como nomes de usuários e aplicativos instalados, que são criptografadas e exfiltradas para a infraestrutura controlada pelos atacantes. A Cisco Talos conclui que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada, embora não tenham conseguido capturar o bytecode Lua descriptografável, o que limita o conhecimento sobre as ações pós-infecção.

Recentemente, hackers invadiram o sistema de atualização do plugin Smart Slider 3 Pro, utilizado em mais de 900 mil sites WordPress e Joomla, e distribuíram uma versão maliciosa que contém múltiplas portas dos fundos. O desenvolvedor do plugin confirmou que apenas a versão 3.5.1.35 está comprometida e recomenda que os usuários atualizem imediatamente para a versão 3.5.1.36 ou revertam para a versão 3.5.1.34 ou anterior. A atualização maliciosa não apenas instalou backdoors em várias localizações, mas também criou um usuário oculto com permissões de administrador e roubou dados sensíveis. A análise da empresa PatchStack revelou que o malware é um kit de ferramentas multi-camadas que permite a execução de comandos remotamente, sem autenticação, e inclui uma segunda porta dos fundos autenticada. Além disso, o malware cria um diretório ‘mu-plugins’ que carrega um plugin disfarçado, tornando-se invisível no painel do WordPress. O alerta se estende também para instalações Joomla, onde o código malicioso pode criar contas de administrador ocultas e roubar informações do site. Administradores são aconselhados a remover o plugin comprometido e seguir um guia de limpeza manual fornecido pelo desenvolvedor.

Uma campanha de hack-for-hire, supostamente ligada ao governo indiano, visou jornalistas, ativistas e oficiais do governo no Oriente Médio e Norte da África (MENA). Entre os alvos estavam os jornalistas egípcios Mostafa Al-A’sar e Ahmed Eltantawy, que sofreram ataques de spear-phishing em 2023 e 2024, tentando comprometer suas contas da Apple e Google. Os ataques incluíram mensagens fraudulentas que redirecionavam os alvos a páginas falsas para coletar credenciais e códigos de autenticação de dois fatores (2FA). Um jornalista libanês também foi alvo de uma campanha de phishing em 2025, que resultou na violação total de sua conta Apple. Embora os ataques não tenham conseguido comprometer as contas dos jornalistas egípcios, a evidência sugere que os atores de ameaça podem usar essas táticas para entregar malwares e exfiltrar dados sensíveis. A análise da Lookout atribui essas atividades a um grupo de espionagem conhecido como Bitter, que tem estado ativo desde 2022, levantando preocupações sobre a vigilância regional e a segurança de dados pessoais. A campanha destaca a crescente utilização de malware móvel como uma ferramenta de espionagem contra a sociedade civil.

O cenário de cibersegurança continua a evoluir com novas ameaças e vulnerabilidades que merecem atenção. Um dos principais destaques é a variante do botnet Phorpiex, que utiliza um modelo híbrido de comunicação para garantir continuidade operacional, mesmo diante de desativação de servidores. Este malware tem como objetivos principais redirecionar transações de criptomoedas e disseminar spam de extorsão sexual, além de facilitar a implementação de ransomware.

Outra vulnerabilidade crítica identificada é a do Apache ActiveMQ Classic, que permitiu a execução remota de código (RCE) por 13 anos. Essa falha pode ser combinada com uma vulnerabilidade anterior para contornar autenticações, tornando-se uma ameaça significativa, especialmente em ambientes que utilizam credenciais padrão.

Um novo grupo de ameaças cibernéticas, denominado UAT-10362, foi identificado em campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) e universidades em Taiwan. O grupo utiliza um malware sofisticado chamado LucidRook, que incorpora um interpretador Lua e bibliotecas compiladas em Rust dentro de uma biblioteca de link dinâmico (DLL). A Cisco Talos, responsável pela descoberta, relatou que o ataque foi iniciado em outubro de 2025, utilizando arquivos compactados RAR ou 7-Zip para entregar um dropper chamado LucidPawn. Este dropper, por sua vez, executa um arquivo de disfarce e inicia o LucidRook. Existem duas cadeias de infecção distintas: uma baseada em arquivos de atalho do Windows (LNK) e outra envolvendo um executável que se apresenta como um programa antivírus da Trend Micro. O LucidRook é projetado para coletar informações do sistema e exfiltrá-las para um servidor externo, além de receber e executar cargas úteis em bytecode Lua. O uso de técnicas de geofencing permite que o malware opere apenas em ambientes de língua chinesa tradicional, limitando sua execução a Taiwan. A complexidade e a modularidade do malware indicam que UAT-10362 é um ator de ameaças altamente capacitado, com um foco em operações furtivas e específicas para suas vítimas.

Uma nova campanha de cibersegurança está afetando quase 100 lojas online que utilizam a plataforma de e-commerce Magento, inserindo um código malicioso para roubo de dados de cartões de crédito em uma imagem SVG de tamanho reduzido. Ao clicar no botão de checkout, os usuários são apresentados a uma sobreposição convincente que valida os dados do cartão e informações de cobrança. A empresa de segurança eCommerce Sansec identificou que o ataque provavelmente explorou a vulnerabilidade PolyShell, que permite a execução de código não autenticado e a tomada de controle de contas. O malware é injetado como um elemento SVG de 1x1 pixel com um manipulador ‘onload’ que contém o código do skimmer, evitando a detecção por scanners de segurança. Dados de pagamento submetidos são validados em tempo real e enviados ao atacante em um formato JSON ofuscado. A Sansec recomenda que os proprietários de sites verifiquem a presença de tags SVG ocultas e monitorem solicitações suspeitas. Até o momento, a Adobe não lançou uma atualização de segurança para corrigir a falha PolyShell em versões estáveis do Magento, o que aumenta o risco para os usuários da plataforma.

Uma nova campanha de cibersegurança está distribuindo o malware Atomic Stealer para usuários de macOS, utilizando o Script Editor em uma variação do ataque ClickFix. O Script Editor é um aplicativo confiável do macOS, que permite a execução de scripts, mas está sendo explorado por hackers para enganar as vítimas a executar comandos maliciosos sem interação manual com o Terminal. Os atacantes criam sites falsos com temas da Apple, que se apresentam como guias para liberar espaço em disco. Esses sites contêm instruções que, ao serem seguidas, abrem o Script Editor com um código executável pré-preenchido. O código malicioso executa um comando ofuscado que baixa e executa um script diretamente na memória do sistema, resultando na instalação do Atomic Stealer, um malware que visa roubar dados sensíveis, como informações do Keychain, senhas e dados de carteiras de criptomoedas. Os usuários de macOS devem tratar os prompts do Script Editor como de alto risco e evitar sua execução a menos que compreendam completamente o que estão fazendo. Para guias de solução de problemas, recomenda-se confiar apenas na documentação oficial da Apple.

Pesquisadores de cibersegurança revelaram a existência de uma botnet chamada Masjesu, que tem sido utilizada para ataques de negação de serviço distribuída (DDoS) desde 2023. Anunciada como um serviço de DDoS sob demanda no Telegram, a Masjesu se destaca por sua capacidade de atingir uma variedade de dispositivos IoT, como roteadores e câmeras, evitando endereços IP bloqueados para garantir sua sobrevivência a longo prazo. O malware utiliza criptografia baseada em XOR para ocultar dados e comandos, e já foi associado a um operador conhecido como ‘synmaestro’.

Pesquisadores de cibersegurança identificaram uma nova variante de malware chamada Chaos, que está se expandindo para atingir implantações em nuvem mal configuradas, além de seu foco tradicional em roteadores e dispositivos de borda. O malware, que foi documentado pela primeira vez em setembro de 2022, é capaz de operar em ambientes Windows e Linux, permitindo a execução de comandos remotos, mineração de criptomoedas e ataques de negação de serviço distribuídos (DDoS).

Um novo malware denominado ‘NoVoice’ está causando sérios problemas em dispositivos Android, tendo sido baixado mais de 2,3 milhões de vezes na Play Store. O malware se esconde em mais de 50 aplicativos falsos, que incluem plataformas de limpeza de sistemas e jogos, levando os usuários a instalá-los sem perceber a ameaça. Especialistas da McAfee descobriram que o NoVoice explora vulnerabilidades do sistema Android para coletar informações sensíveis, como logins, senhas e dados de cartões de crédito. Além disso, o malware tem a capacidade de instalar ou desinstalar aplicativos sem o conhecimento do usuário. Um dos aplicativos identificados na operação criminosa é o SwiftClean, que promete otimizar o desempenho do dispositivo. Embora o Google tenha garantido que dispositivos atualizados desde maio de 2021 estão protegidos, é essencial que os usuários mantenham atenção redobrada ao instalar novos aplicativos, uma vez que os criminosos conseguem burlar os sistemas de segurança da Play Store.

O vazamento do código-fonte do Claude Code, uma ferramenta de inteligência artificial da Anthropic, resultou em uma campanha maliciosa que distribui um malware chamado ‘Vidar’, projetado para roubar dados sensíveis dos usuários. O incidente teve início no final de março de 2026, quando um arquivo JavaScript contendo o código vazado foi acidentalmente incluído em um pacote npm e posteriormente publicado no GitHub. Criminosos aproveitaram essa situação para criar um repositório falso, atraindo usuários interessados em obter o código original. O responsável pela disseminação do malware, identificado como ‘idbzoomh’, utilizou técnicas de SEO para garantir que seu repositório aparecesse nas primeiras posições dos resultados de busca do Google. O malware se instala como um dropper, utilizando uma ferramenta de proxy para roubar informações. Além disso, uma segunda versão do repositório foi encontrada, sugerindo que os atacantes estão testando diferentes métodos de distribuição. A análise da empresa de segurança Zscaler alerta para o risco que essa situação representa, especialmente para aqueles que buscam o código vazado, tornando-os alvos fáceis para os hackers.

O malware que afeta sistemas de controle industrial (ICS) representa uma ameaça significativa para indústrias essenciais, como energia e manufatura. Variedades como Industroyer e Stuxnet já demonstraram a capacidade de interromper processos industriais e causar danos físicos à infraestrutura crítica. Um relatório recente da Cyble Research & Intelligence Labs revelou que as divulgações de vulnerabilidades em ICS quase dobraram entre 2024 e 2025, em parte devido à exploração crescente por agentes de ameaça. Dispositivos ICS expostos à internet, especialmente aqueles que utilizam protocolos legados como Modbus, são alvos primários, pois carecem de autenticação e criptografia. Um escaneamento realizado identificou 179 dispositivos ICS suspeitos respondendo na porta 502, com os Estados Unidos liderando em exposição (57 dispositivos). A maioria dos dispositivos expostos pertence a fabricantes como Schneider e ABB, e a revelação de suas informações pode facilitar ataques, permitindo que invasores acessem registros sensíveis. Diante do crescimento do mercado de automação industrial, a proteção desses dispositivos se torna uma prioridade, pois cada novo dispositivo conectado representa uma nova superfície de ataque.

Uma campanha persistente de malware conhecida como Contagious Interview, associada à Coreia do Norte, está se expandindo ao publicar pacotes maliciosos que visam os ecossistemas Go, Rust e PHP. Os pacotes maliciosos, que se disfarçam como ferramentas legítimas para desenvolvedores, atuam como carregadores de malware, permitindo que a campanha realize operações coordenadas de cadeia de suprimentos. Os pacotes identificados incluem nomes como ‘dev-log-core’ e ’logutilkit’, que, uma vez instalados, buscam carregar cargas úteis específicas para cada plataforma, com capacidades de roubo de informações e acesso remoto. Um dos pacotes, ’license-utils-kit’, apresenta um implante completo que pode executar comandos de shell, registrar teclas, roubar dados de navegadores e gerenciar acesso remoto. A descoberta de mais de 1.700 pacotes maliciosos desde janeiro de 2025 indica que a campanha é bem financiada e persistentemente projetada para infiltrar ambientes de desenvolvedores. Além disso, a Microsoft alertou sobre a evolução das táticas de grupos de hackers norte-coreanos, que utilizam engenharia social para comprometer contas e distribuir malware através de links falsos de reuniões online. Essa situação representa um risco significativo para a segurança de desenvolvedores e empresas que utilizam essas tecnologias.

Um novo malware chamado Storm está revolucionando a forma como os hackers comprometem contas online, permitindo o acesso total a perfis sem a necessidade de senhas ou autenticação multifatorial. De acordo com a Varonis Threat Labs, o Storm se concentra em cookies de sessão, que mantêm os usuários logados em suas contas. Ao roubar esses cookies, os atacantes podem acessar contas como se fossem os usuários legítimos, evitando assim os alertas de segurança comuns. O malware coleta dados do navegador, incluindo credenciais salvas e tokens de autenticação, e processa essas informações em servidores controlados pelos atacantes, o que dificulta a detecção por ferramentas de segurança. O Storm é oferecido como um serviço de assinatura, com preços que variam de $300 por uma demonstração de sete dias a $900 por mês, tornando o cibercrime mais acessível. Os dados coletados incluem informações de contas de grandes plataformas como Google, Facebook e várias exchanges de criptomoedas. Essa nova abordagem representa um risco significativo para organizações que dependem apenas de proteções tradicionais, destacando a necessidade de monitoramento de tráfego e análises comportamentais para detectar atividades suspeitas.

O conceito de ’ecossistema de espionagem’ refere-se a organizações complexas, geralmente patrocinadas por estados autoritários, que utilizam tecnologias sofisticadas para realizar atividades de espionagem. Essas entidades visam desde a interrupção de cadeias de suprimento até o roubo de informações sensíveis, como planos de produtos e estratégias legais. Ao contrário de ataques rápidos, essas operações buscam acesso profundo e de longo prazo às redes críticas das organizações, muitas vezes infiltrando-se através de funcionários desprevenidos.

Uma nova campanha de malware direcionada a usuários do WhatsApp foi descoberta por pesquisadores do Microsoft Defender. O ataque, que começou em fevereiro de 2026, utiliza arquivos maliciosos no formato Visual Basic Script (VBS) enviados por meio de mensagens no aplicativo. Quando o arquivo é aberto, ele instala um script que cria pastas ocultas no sistema Windows, disfarçando-se como componentes legítimos. Essa técnica de engenharia social permite que o malware se instale sem acionar sistemas de segurança, já que suas atividades se misturam ao tráfego normal do dispositivo.

Hackers estão utilizando notificações falsas do LinkedIn, disfarçadas como alertas de emprego, para enganar usuários e obter informações sensíveis de login. Pesquisas da Cofense revelam que esses ataques se aproveitam da urgência e curiosidade dos destinatários, levando-os a clicar em links maliciosos. Os e-mails fraudulentos frequentemente imitam comunicados de recrutadores de empresas respeitáveis, utilizando logotipos e formatações convincentes. Domínios como ‘inedin[.]digital’ são criados para parecerem legítimos, aumentando a confiança dos usuários. Além disso, os atacantes personalizam as mensagens com dados pessoais disponíveis publicamente, como endereços residenciais, para aumentar a credibilidade. A análise rápida desses ataques é crucial, pois atrasos podem resultar em credenciais comprometidas. Especialistas recomendam que os usuários verifiquem a autenticidade das notificações do LinkedIn e evitem clicar em links suspeitos. A implementação de softwares antivírus atualizados e a verificação cuidadosa de URLs são medidas essenciais para proteger contra esses ataques.

Em março de 2026, um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP comprometeu pacotes da biblioteca de desenvolvimento de IA LiteLLM, resultando em uma operação sistemática de coleta de credenciais a partir de estações de trabalho de desenvolvedores. O malware, que foi injetado nas versões 1.82.7 e 1.82.8 do LiteLLM disponíveis no PyPI, ativou-se quando os desenvolvedores instalavam ou atualizavam o pacote, coletando chaves SSH, credenciais de nuvem e outras informações sensíveis. Apesar da remoção rápida dos pacotes maliciosos, a análise da GitGuardian revelou que 1.705 pacotes do PyPI estavam configurados para puxar as versões comprometidas como dependências, expondo ainda mais sistemas a riscos.

Recentemente, grupos de ameaças associados à Coreia do Norte têm utilizado o GitHub como infraestrutura de comando e controle (C2) em ataques direcionados a organizações na Coreia do Sul. Segundo a Fortinet, a cadeia de ataque começa com arquivos de atalho do Windows (LNK) ofuscados, que são distribuídos por meio de e-mails de phishing. Esses arquivos iniciam o download de um documento PDF falso e um script PowerShell que opera em segundo plano. O script realiza verificações para evitar a análise, terminando sua execução se detectar processos relacionados a máquinas virtuais ou ferramentas forenses. Caso contrário, ele extrai um script Visual Basic e estabelece persistência, garantindo que o payload do PowerShell seja executado automaticamente a cada 30 minutos. Além disso, o script coleta informações do sistema comprometido e as exfiltra para um repositório do GitHub, utilizando um token de acesso codificado. Essa técnica de usar plataformas confiáveis como o GitHub para controle de malware é uma estratégia que permite aos atacantes se camuflar e manter controle sobre os sistemas infectados. O uso de ferramentas nativas do Windows, em vez de malware personalizado, aumenta a eficácia dos ataques, reduzindo a taxa de detecção. A situação é preocupante, pois demonstra a evolução das táticas de grupos patrocinados pelo estado, como o Kimsuky, que também têm explorado outras técnicas de infecção baseadas em LNK.

Uma nova campanha de phishing direcionada a usuários do LinkedIn tem utilizado notificações falsas para roubar credenciais de login e dados profissionais. Segundo o Cofense Phishing Defense Center, os criminosos criam e-mails que imitam alertas legítimos da plataforma, enganando até mesmo os usuários mais cautelosos. Esses e-mails, que apresentam um design semelhante ao do LinkedIn, informam sobre mensagens urgentes de representantes de empresas renomadas, levando as vítimas a clicar em links maliciosos. Ao clicar, o usuário é redirecionado para uma página de login fraudulenta, onde suas informações de acesso são capturadas. O domínio utilizado pelos golpistas, que se assemelha ao verdadeiro, é uma tática para enganar os desavisados. A campanha destaca a importância da conscientização sobre segurança digital, especialmente em plataformas profissionais, onde informações sensíveis são frequentemente compartilhadas.

O malware SparkCat, um infostealer focado em criptomoedas, está de volta com novas atualizações que dificultam sua detecção. Pesquisadores da Kaspersky identificaram aplicativos maliciosos disfarçados em plataformas populares como a Apple App Store e o Google Play Store. O SparkCat, que foi detectado pela primeira vez em 2025, tem como alvo as frases mnemônicas usadas para acessar carteiras de criptomoedas. Recentemente, o malware aprimorou suas técnicas, utilizando reconhecimento óptico de caracteres (OCR) para extrair essas informações de fotos e capturas de tela. Embora inicialmente focado em usuários asiáticos, a nova versão também busca alvos ocidentais, incluindo palavras-chave em inglês. As técnicas de ofuscação foram aprimoradas, tornando a detecção ainda mais desafiadora. A Kaspersky informou que algumas das aplicações maliciosas já foram removidas das lojas, mas o risco persiste, especialmente para usuários que não mantêm vigilância sobre os aplicativos que instalam.

Nesta semana, o cenário de cibersegurança foi marcado por incidentes significativos, incluindo o comprometimento do pacote npm Axios por hackers norte-coreanos, que introduziram uma versão maliciosa contendo o malware WAVESHAPER.V2. Este ataque destaca a vulnerabilidade de pacotes amplamente utilizados, que podem afetar rapidamente uma vasta gama de sistemas. Além disso, o Google lançou atualizações de segurança para o Chrome, corrigindo 21 vulnerabilidades, incluindo uma falha zero-day que já estava sendo explorada. Outro incidente relevante foi a exploração de uma vulnerabilidade zero-day no software de videoconferência TrueConf, que afetou entidades governamentais no Sudeste Asiático. A Fortinet também emitiu patches para uma falha crítica em seu FortiClient EMS, que estava sendo ativamente explorada. Por fim, a Apple expandiu a disponibilidade de correções para dispositivos mais antigos, visando proteger usuários contra o kit de exploração DarkSword. Esses eventos ressaltam a importância de monitorar e proteger ferramentas de desenvolvimento e dependências de software, uma vez que os atacantes estão cada vez mais focados em comprometer os processos de construção e distribuição de software.

Pesquisadores de cibersegurança identificaram 36 pacotes maliciosos na registry npm, disfarçados como plugins do Strapi CMS. Esses pacotes, que não possuem descrição ou repositório, foram projetados para facilitar a exploração de Redis e PostgreSQL, implantar shells reversos, coletar credenciais e instalar um implante persistente. Todos os pacotes seguem a convenção de nomenclatura ‘strapi-plugin-’ e foram enviados por contas falsas em um curto período de tempo. A análise revelou que o código malicioso está embutido no script postinstall, que é executado automaticamente durante a instalação, permitindo que o código seja executado com os mesmos privilégios do usuário. Os ataques incluem a injeção de comandos para execução remota de código, coleta de informações sensíveis e exploração de bancos de dados. A descoberta coincide com uma série de ataques à cadeia de suprimentos no ecossistema de código aberto, levantando preocupações sobre a segurança de desenvolvedores e empresas que utilizam essas tecnologias. Os usuários que instalaram os pacotes devem considerar suas contas comprometidas e trocar todas as credenciais.

Os mantenedores do popular cliente HTTP Axios relataram um ataque de engenharia social que comprometeu a conta de um desenvolvedor, resultando na publicação de versões maliciosas do Axios no registro de pacotes npm. Durante um período de aproximadamente três horas, duas versões (1.14.1 e 0.30.4) injetaram uma dependência chamada plain-crypto-js, que instalou um trojan de acesso remoto (RAT) em sistemas macOS, Windows e Linux. O ataque foi atribuído ao grupo de hackers norte-coreano UNC1069, que utiliza táticas de engenharia social para enganar desenvolvedores. O principal alvo, Jason Saayman, foi induzido a instalar um malware disfarçado de atualização do Microsoft Teams após ser convidado para um espaço de trabalho Slack falso. Os mantenedores do Axios já tomaram medidas para mitigar o incidente, incluindo a redefinição de credenciais e a limpeza de sistemas afetados. Este ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, especialmente em projetos de código aberto amplamente utilizados.

Com o aumento das ameaças digitais, usuários de iPhones antigos precisam estar atentos à segurança de seus dispositivos. À medida que as versões do iOS se tornam obsoletas, os aparelhos mais antigos se tornam alvos preferenciais para ataques, como o recente malware DarkSword, que compromete informações sensíveis através de links maliciosos. Para mitigar esses riscos, o artigo apresenta cinco passos essenciais: 1) Atualizar o iPhone para a versão mais recente disponível; 2) Verificar se o dispositivo ainda recebe atualizações de segurança; 3) Evitar clicar em links suspeitos e instalar aplicativos fora da App Store; 4) Reforçar as proteções do aparelho, como ativar a autenticação de dois fatores e o Face ID ou Touch ID; e 5) Revisar permissões de aplicativos e monitorar comportamentos estranhos. Essas medidas são cruciais para garantir a segurança dos dados e a integridade do dispositivo, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Desde meados de 2025, um ator de ameaças alinhado à China, identificado como TA416, intensificou suas atividades contra organizações governamentais e diplomáticas na Europa, após um período de dois anos com pouca atividade na região. Pesquisadores da Proofpoint relataram que as campanhas de TA416 incluem múltiplas ondas de entrega de malware e web bugs direcionadas a missões diplomáticas da União Europeia e da OTAN. O grupo tem utilizado técnicas sofisticadas, como o abuso de páginas de desafio do Cloudflare e redirecionamentos OAuth, além de atualizar frequentemente seu payload PlugX. Além disso, TA416 também tem realizado campanhas no Oriente Médio, possivelmente para coletar informações sobre o conflito entre EUA, Israel e Irã. As táticas observadas incluem o uso de arquivos de projeto C# para facilitar a entrega do malware, que é conhecido por estabelecer canais de comunicação criptografados com servidores de comando e controle. A evolução das operações cibernéticas chinesas, que se tornaram mais adaptativas e centradas na identidade, destaca a necessidade de vigilância constante por parte das organizações, especialmente aquelas que operam em setores críticos.

O mantenedor do pacote Axios, Jason Saayman, confirmou que o comprometimento da cadeia de suprimentos foi resultado de uma campanha de engenharia social altamente direcionada, orquestrada por atores de ameaças da Coreia do Norte, identificados como UNC1069. Os atacantes se apresentaram como o fundador de uma empresa legítima, criando um espaço no Slack que parecia autêntico, onde interagiram com Saayman. Durante uma reunião falsa no Microsoft Teams, ele recebeu uma mensagem de erro que o levou a baixar um trojan de acesso remoto. Com isso, os atacantes conseguiram roubar as credenciais da conta npm de Saayman e publicaram versões comprometidas do pacote Axios, que é amplamente utilizado na comunidade JavaScript, com quase 100 milhões de downloads semanais. O ataque destaca a vulnerabilidade dos mantenedores de projetos de código aberto e o potencial de impacto em larga escala, afetando usuários downstream. Saayman implementou medidas preventivas, como redefinir dispositivos e credenciais e adotar práticas recomendadas para publicações. O incidente ressalta a necessidade de vigilância constante em um ambiente de desenvolvimento cada vez mais complexo.

Pesquisadores de cibersegurança descobriram uma nova versão do malware SparkCat nas lojas de aplicativos da Apple e Google, mais de um ano após sua primeira detecção. Este trojan se disfarça em aplicativos aparentemente inofensivos, como mensageiros corporativos e serviços de entrega de alimentos, enquanto escaneia silenciosamente as galerias de fotos das vítimas em busca de frases de recuperação de carteiras de criptomoedas. A empresa russa Kaspersky identificou dois aplicativos infectados na App Store e um no Google Play, com foco em usuários de criptomoedas na Ásia. A variante para iOS se destaca por buscar frases mnemônicas em inglês, o que amplia seu alcance potencial. A versão para Android, por sua vez, apresenta várias camadas de ofuscação e busca palavras-chave em japonês, coreano e chinês. O SparkCat utiliza um modelo de reconhecimento óptico de caracteres (OCR) para extrair imagens que contêm frases de recuperação de carteiras e enviá-las a servidores controlados por atacantes. As melhorias recentes indicam que o malware está em evolução contínua, reforçando a necessidade de soluções de segurança para dispositivos móveis.

Pesquisadores de segurança da Kaspersky alertam sobre o CrystalX RAT, um novo malware como serviço (MaaS) que combina funcionalidades avançadas de espionagem com recursos de ‘prankware’. Este malware permite acesso remoto a sistemas, execução de comandos, roubo de dados e até captura de áudio e vídeo. Além disso, possui características que visam perturbar as vítimas, como alterar papéis de parede e esconder ícones da área de trabalho. O CrystalX RAT é promovido principalmente através do Telegram e YouTube, visando novatos na área de hacking. A Kaspersky observa que o malware já afetou dezenas de vítimas, principalmente na Rússia, e prevê um aumento significativo no número de afetados devido à sua campanha de marketing agressiva. O uso de engenharia social para disseminação do malware, como cracks de software e serviços premium falsos, é uma preocupação crescente. O impacto potencial inclui não apenas o roubo de credenciais, mas também o uso de dados para chantagem, o que representa uma ameaça significativa à privacidade e segurança dos usuários.

Recentemente, o vazamento do código-fonte do Claude Code, uma ferramenta de IA da Anthropic, expôs 513 mil linhas de código TypeScript, permitindo que cibercriminosos explorassem essa brecha. O incidente ocorreu em 31 de março de 2023, quando um mapa de origem JavaScript foi acidentalmente incluído em um pacote npm. Após a divulgação, o código foi rapidamente baixado e publicado em repositórios do GitHub, onde um usuário malicioso criou um repositório falso que prometia acesso a recursos ‘desbloqueados’ do Claude Code. Esse repositório, otimizado para mecanismos de busca, atraiu usuários curiosos, que acabaram baixando um arquivo malicioso contendo um executável que instala o malware Vidar, um ladrão de informações, junto com a ferramenta GhostSocks. Os pesquisadores da Zscaler alertam que o repositório malicioso é atualizado frequentemente, o que pode indicar a adição de novos payloads. Apesar das defesas do GitHub, a plataforma tem sido um canal recorrente para a distribuição de malware disfarçado. O incidente destaca a necessidade de vigilância constante e de ações proativas para mitigar riscos associados a vazamentos de código e à exploração de vulnerabilidades.

Um novo malware chamado NoVoice foi descoberto em mais de 50 aplicativos disponíveis na Google Play Store, afetando aproximadamente 2,3 milhões de dispositivos Android. Este malware é particularmente perigoso, pois se instala como um rootkit altamente persistente, o que significa que uma simples redefinição de fábrica não é suficiente para removê-lo. Os pesquisadores da McAfee identificaram que o NoVoice explora vulnerabilidades antigas no kernel do Android e em drivers de GPU, visando dispositivos que não recebem atualizações regulares.

Desde novembro de 2023, uma operação de cibersegurança chamada REF1695 tem explorado instaladores falsos para implantar trojans de acesso remoto (RATs) e mineradores de criptomoedas. Os pesquisadores da Elastic Security Labs identificaram que, além do cryptomining, os atacantes monetizam as infecções através de fraudes CPA (Custo Por Ação), redirecionando as vítimas para páginas de bloqueio de conteúdo sob a aparência de registro de software. As versões mais recentes da campanha também entregaram um implante .NET inédito, denominado CNB Bot, que utiliza um arquivo ISO como vetor de infecção. Este loader invoca o PowerShell para configurar exclusões amplas no Microsoft Defender, permitindo que o CNB Bot opere em segundo plano, enquanto o usuário é enganado por uma mensagem de erro. O CNB Bot é capaz de baixar e executar cargas adicionais, atualizar-se e realizar ações de limpeza para ocultar suas atividades. A operação já acumulou 27,88 XMR (aproximadamente R$ 9.392) em quatro carteiras rastreadas, evidenciando o retorno financeiro consistente para os atacantes. Além disso, a infraestrutura de comando e controle (C2) dos atacantes abusa do GitHub como uma rede de entrega de conteúdo, hospedando binários em contas confiáveis, o que dificulta a detecção.

O boletim semanal de cibersegurança destaca diversas ameaças emergentes e vulnerabilidades críticas que afetam sistemas e aplicativos amplamente utilizados. Entre os principais pontos, estão as falhas de segurança no Progress ShareFile, que permitem execução remota de código sem autenticação, e a propagação do malware NoVoice, que se espalha por mais de 50 aplicativos Android, explorando vulnerabilidades antigas para obter acesso root. O FBI também alertou sobre os riscos de aplicativos móveis desenvolvidos no exterior, especialmente os da China, que podem coletar dados pessoais sem autorização. Além disso, foi criada uma nova unidade no Departamento de Estado dos EUA para combater ameaças cibernéticas emergentes. O artigo enfatiza a importância de aplicar patches e monitorar sistemas, especialmente em um cenário onde um único código malicioso pode comprometer milhares de aplicativos. A relevância dessas informações é alta para empresas brasileiras, considerando a necessidade de proteção contra essas ameaças.

O CrystalRAT, um novo malware como serviço (MaaS), está sendo promovido no Telegram e no YouTube, oferecendo funcionalidades como acesso remoto, roubo de dados, keylogging e sequestro de área de transferência. Lançado em janeiro, o CrystalRAT apresenta um modelo de assinatura em camadas e possui semelhanças com o WebRAT, incluindo design de painel e código baseado em Go. O malware conta com um painel de controle amigável e uma ferramenta de construção automatizada que permite personalizações, como geoblocking e recursos anti-análise. Os payloads gerados são comprimidos e criptografados para proteção. O componente de roubo de informações do CrystalRAT, que está temporariamente desativado para atualização, visa navegadores baseados em Chromium e coleta dados de aplicativos de desktop como Steam e Discord. Além disso, o malware possui um módulo de acesso remoto que permite executar comandos, transferir arquivos e controlar a máquina em tempo real. O CrystalRAT também inclui funcionalidades de prankware, como alterar a imagem de fundo da área de trabalho e forçar o desligamento do sistema, o que pode distrair as vítimas enquanto os módulos de roubo de dados operam em segundo plano. Para mitigar o risco de infecções, recomenda-se cautela ao interagir com conteúdos online e evitar downloads de fontes não confiáveis.

Um novo malware para Android, chamado NoVoice, foi descoberto na Google Play, oculto em mais de 50 aplicativos que foram baixados mais de 2,3 milhões de vezes. Os aplicativos infectados incluíam ferramentas de limpeza, galerias de imagens e jogos, e não exigiam permissões suspeitas. Após o lançamento de um aplicativo infectado, o malware tentava obter acesso root ao dispositivo explorando vulnerabilidades antigas do Android que foram corrigidas entre 2016 e 2021. Pesquisadores da McAfee identificaram a operação NoVoice, que compartilha semelhanças com o trojan Android Triada. O malware oculta componentes maliciosos em pacotes legítimos do Facebook e utiliza esteganografia para extrair um payload criptografado. Ele evita infectar dispositivos em regiões específicas, como Beijing e Shenzhen, e realiza verificações para detectar emuladores e VPNs. Após a infecção, o malware coleta informações do dispositivo e se conecta a um servidor de comando e controle (C2) para baixar componentes adicionais. O NoVoice é capaz de roubar dados do WhatsApp, permitindo que atacantes clonar sessões de usuários. Embora os aplicativos maliciosos tenham sido removidos da Google Play, usuários que os instalaram devem considerar seus dispositivos comprometidos. Atualizar para dispositivos com patches de segurança mais recentes é recomendado para mitigar essa ameaça.

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou uma nova campanha de phishing em que os atacantes se passaram pela própria agência para disseminar uma ferramenta de administração remota chamada AGEWHEEZE. Nos dias 26 e 27 de março de 2026, e-mails foram enviados a diversas organizações, incluindo instituições estatais e financeiras, com um arquivo ZIP protegido por senha, que supostamente continha um ‘software especializado’. O arquivo, intitulado ‘CERT_UA_protection_tool.zip’, na verdade, baixa um trojan de acesso remoto. O malware, desenvolvido em Go, se comunica com um servidor externo e permite uma série de operações maliciosas, como captura de tela e controle de processos. Embora a campanha tenha visado 1 milhão de caixas de entrada, o CERT-UA relatou que o impacto foi limitado, com poucos dispositivos infectados. A análise do site falso sugere que foi criado com ferramentas de inteligência artificial, e o grupo responsável, denominado Cyber Serp, afirma que não visa prejudicar cidadãos ucranianos. A situação destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de vigilância contínua.

Uma nova campanha de phishing está atacando usuários de língua espanhola em organizações na América Latina e na Europa, visando a entrega de trojans bancários do Windows, como o Casbaneiro, através de um malware chamado Horabot. A atividade foi atribuída a um grupo de cibercrime brasileiro conhecido como Augmented Marauder e Water Saci, que foi documentado pela Trend Micro em outubro de 2025.

Os ataques começam com e-mails de phishing que usam mensagens de convocação judicial para enganar os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link embutido no documento, a vítima é redirecionada para um link malicioso que inicia o download automático de um arquivo ZIP, levando à execução de scripts VBS que realizam verificações de ambiente e anti-análise. Esses scripts, então, baixam cargas úteis adicionais que incluem loaders baseados em AutoIt, que extraem e executam arquivos criptografados.

A Microsoft alertou sobre uma nova campanha de cibersegurança que utiliza mensagens do WhatsApp para disseminar arquivos maliciosos em formato de Visual Basic Script (VBS). Iniciada no final de fevereiro de 2026, essa atividade emprega uma cadeia de infecção em múltiplas etapas, visando estabelecer persistência e permitir acesso remoto aos sistemas das vítimas. Os atacantes distribuem arquivos VBS que, ao serem executados, criam pastas ocultas e instalam versões renomeadas de utilitários legítimos do Windows, como ‘curl.exe’ e ‘bitsadmin.exe’, camuflando suas ações. Após obter acesso inicial, os invasores tentam escalar privilégios e instalar pacotes MSI maliciosos, utilizando serviços de nuvem confiáveis como AWS e Tencent Cloud para hospedar os arquivos maliciosos. A campanha combina engenharia social e técnicas de stealth, tornando-se uma ameaça significativa, pois permite que os atacantes manipulem configurações de controle de conta de usuário (UAC) e mantenham controle sobre os sistemas comprometidos. A utilização de ferramentas legítimas e plataformas confiáveis aumenta a eficácia dos ataques, destacando a necessidade de vigilância constante e medidas de proteção adequadas.

O Google atribuiu formalmente a violação da cadeia de suprimentos do popular pacote Axios npm a um grupo de ameaças da Coreia do Norte, identificado como UNC1069. Este ataque, que visa roubar criptomoedas, ocorreu quando os invasores assumiram o controle da conta do mantenedor do pacote, permitindo a distribuição de versões trojanizadas que introduziram uma dependência maliciosa chamada ‘plain-crypto-js’. Essa dependência é utilizada para implantar um backdoor multiplataforma que afeta sistemas Windows, macOS e Linux. O ataque se destaca pela sua sofisticação, utilizando um hook de pós-instalação no arquivo ‘package.json’ para executar código malicioso de forma discreta. O backdoor, denominado WAVESHAPER.V2, é uma versão atualizada de um malware anterior e suporta comandos para executar scripts e coletar informações do sistema. Para mitigar os riscos, os usuários são aconselhados a auditar suas dependências, bloquear domínios de comando e controle e isolar sistemas afetados. Este incidente ressalta a necessidade de uma vigilância contínua sobre as dependências de software, especialmente em ambientes de desenvolvimento.

Recentemente, hackers invadiram a conta npm do pacote Axios, um cliente HTTP para JavaScript com mais de 100 milhões de downloads semanais, para disseminar trojans de acesso remoto (RATs) em sistemas Linux, Windows e macOS. De acordo com relatórios de empresas de segurança, como Endor Labs e Socket, duas versões maliciosas do pacote foram publicadas no registro npm: axios@1.14.1 e axios@0.30.4. A invasão ocorreu após a violação da conta de Jason Saayman, o principal mantenedor do Axios, e as versões maliciosas foram publicadas sem a origem automatizada do OpenID Connect, o que deveria ter acionado um alerta. O ataque foi cuidadosamente planejado, com a injeção de uma dependência maliciosa chamada plain-crypto-js@^4.2.1 no arquivo package.json, que executa um script pós-instalação para baixar e executar um payload específico para cada sistema operacional. O impacto potencial é significativo, dado que o Axios possui cerca de 400 milhões de downloads mensais. Os usuários são aconselhados a reverter para as versões limpas axios@1.14.0 e axios@0.30.3 e a tomar medidas de segurança adicionais, como a rotação de credenciais.

Uma campanha ativa de ciberataques tem como alvo usuários de língua chinesa, utilizando domínios com erros de digitação que imitam marcas de software confiáveis para disseminar um novo trojan de acesso remoto chamado AtlasCross RAT. A empresa de cibersegurança Hexastrike identificou que a operação abrange clientes de VPN, mensageiros criptografados, ferramentas de videoconferência e aplicativos de e-commerce, com onze domínios confirmados que se passam por marcas como Surfshark VPN, Signal e Microsoft Teams. A campanha é atribuída ao grupo de cibercrime chinês conhecido como Silver Fox, que evoluiu suas táticas a partir de variantes do Gh0st RAT. Os atacantes criam sites falsos para enganar usuários a baixarem arquivos ZIP que contêm instaladores trojanizados. O AtlasCross RAT possui capacidades avançadas, incluindo injeção de DLL em WeChat e manipulação de sessões RDP, além de técnicas de evasão de segurança. A descoberta deste malware destaca a crescente sofisticação das ameaças cibernéticas, com implicações significativas para a segurança de dados e a conformidade com a LGPD no Brasil.

O popular cliente HTTP Axios foi alvo de um ataque de cadeia de suprimentos, resultando na publicação de versões comprometidas do pacote npm. As versões 1.14.1 e 0.30.4 introduziram uma dependência maliciosa chamada ‘plain-crypto-js’ na versão 4.2.1, que atua como um trojan de acesso remoto (RAT). O ataque foi realizado utilizando credenciais comprometidas do mantenedor principal do Axios, permitindo que os invasores contornassem o pipeline de CI/CD do projeto. O malware, uma vez instalado, se conecta a um servidor de comando e controle e executa scripts maliciosos específicos para macOS, Windows e Linux. Os usuários que instalarem essas versões devem reverter imediatamente para versões seguras e rotacionar suas credenciais. O ataque destaca a vulnerabilidade das dependências em projetos de código aberto e a necessidade de vigilância constante em ambientes de desenvolvimento. Com mais de 83 milhões de downloads semanais, o Axios é amplamente utilizado em aplicações JavaScript, tornando este incidente particularmente preocupante para desenvolvedores e empresas que dependem dessa tecnologia.

O malware RoadK1ll, um novo implante malicioso identificado, permite que atacantes se movimentem discretamente de um host comprometido para outros sistemas na rede. Desenvolvido em Node.js, ele se comunica por meio de um protocolo WebSocket personalizado, mantendo o acesso contínuo do invasor e facilitando operações adicionais. Descoberto pela Blackpoint, uma provedora de resposta e detecção gerenciada, o RoadK1ll é descrito como um implante leve de tunelamento reverso que se integra à atividade normal da rede, transformando uma máquina infectada em um ponto de retransmissão para o atacante.

Uma nova campanha de cibersegurança está utilizando a tática de engenharia social conhecida como ClickFix para distribuir um malware loader inédito chamado DeepLoad. De acordo com pesquisadores da ReliaQuest, o DeepLoad emprega técnicas avançadas de ofuscação assistida por inteligência artificial (IA) e injeção de processos para evitar detecções. O ataque começa com um engodo que induz os usuários a executar comandos do PowerShell, que, por sua vez, baixa e executa um loader ofuscado. O malware se disfarça como um processo legítimo do Windows, ocultando suas atividades e desabilitando o histórico de comandos do PowerShell para evitar monitoramento. Além disso, o DeepLoad é capaz de roubar credenciais de navegadores e se propaga através de dispositivos de mídia removível. Ele também utiliza o Windows Management Instrumentation (WMI) para reinfectar sistemas sem interação do usuário. Essa nova ameaça representa um risco significativo, pois combina várias técnicas de evasão e pode comprometer a segurança de sistemas em larga escala.

Um novo esquema de malware para macOS, conhecido como Infiniti Stealer, foi descoberto pela Malwarebytes. Este infostealer é distribuído através de um ataque de engenharia social chamado ClickFix, que engana as vítimas a executarem um código malicioso no Terminal do macOS. O ataque começa com um redirecionamento para um site que simula uma atualização de software, onde as vítimas são levadas a completar um CAPTCHA que, na verdade, é um código que instala o malware. O Infiniti Stealer é notável por ser escrito em Python e compilado com Nuitka, o que resulta em um executável nativo do macOS, dificultando sua detecção. O malware é capaz de roubar credenciais de navegadores, dados do Keychain do macOS, informações de carteiras de criptomoedas e até capturas de tela. A Malwarebytes alerta que, devido à natureza do ataque, muitas defesas tradicionais são contornadas, tornando os usuários vulneráveis. Para se proteger, recomenda-se cautela com comunicações recebidas, verificação de links e a utilização de autenticação multifator.

Três grupos de atividade de ameaças associados à China têm como alvo uma organização governamental no Sudeste Asiático, em uma operação complexa e bem financiada. As campanhas resultaram na utilização de diversas famílias de malware, incluindo HIUPAN, PUBLOAD, e FluffyGh0st, entre outros. Os pesquisadores da Palo Alto Networks identificaram três clusters de atividade: Mustang Panda, CL-STA-1048 e CL-STA-1049, que demonstram sobreposição em táticas e técnicas, sugerindo uma coordenação entre os grupos. A atividade do Mustang Panda, registrada entre junho e agosto de 2025, utilizou malware USB para implantar backdoors, enquanto o CL-STA-1049 fez uso de um novo loader DLL, o Hypnosis Loader, para instalar o FluffyGh0st RAT. A intenção dos atacantes parece ser a obtenção de acesso persistente a redes governamentais sensíveis, em vez de causar apenas interrupções. A convergência dessas atividades destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações críticas.

Pesquisadores de cibersegurança descobriram um toolkit de acesso remoto de origem russa, denominado CTRL, que é distribuído por meio de arquivos de atalho (LNK) maliciosos disfarçados como pastas de chaves privadas. O toolkit, desenvolvido em .NET, inclui executáveis que facilitam phishing de credenciais, keylogging, sequestro de sessões RDP e tunelamento reverso via Fast Reverse Proxy (FRP). O ataque começa com um arquivo LNK que, ao ser clicado, inicia um processo em múltiplas etapas, levando à implantação do toolkit. O arquivo dropper aciona um comando PowerShell oculto que remove mecanismos de persistência existentes e baixa cargas úteis adicionais de um servidor remoto. O componente de coleta de credenciais simula uma janela de verificação de PIN do Windows, capturando informações sensíveis enquanto bloqueia tentativas de escape. O toolkit também permite o envio de notificações que imitam navegadores para roubo adicional de credenciais. A arquitetura do CTRL prioriza a segurança operacional, evitando padrões de comunicação detectáveis, o que representa um risco significativo para organizações que utilizam tecnologias Windows. A descoberta deste toolkit destaca a necessidade de vigilância contínua e medidas de segurança robustas para mitigar riscos associados a ataques de malware sofisticados.

Os arquivos ZIP são frequentemente utilizados para enviar documentos importantes, mas também podem ser uma porta de entrada para malwares. O artigo destaca a importância de verificar a origem e o contexto de envio desses arquivos antes de abri-los. É fundamental analisar o remetente, o conteúdo do e-mail e sinais visuais que possam indicar uma tentativa de phishing, como nomes genéricos de arquivos ou mensagens com erros de gramática. O artigo também menciona que erros ao tentar extrair arquivos ZIP podem ser um sinal de malware, e recomenda o uso de antivírus para escanear os arquivos antes de abri-los. Além disso, sugere que os usuários evitem abrir arquivos desconhecidos em máquinas corporativas e sempre confirmem a natureza do documento com o remetente. A cautela é essencial, pois hackers podem invadir contas de conhecidos para enviar arquivos infectados. O principal objetivo é promover uma abordagem proativa e informada na identificação de arquivos ZIP suspeitos.

Um novo malware de roubo de informações, chamado Infinity Stealer, está direcionando ataques a sistemas macOS utilizando um payload em Python, que é empacotado como um executável com o compilador Nuitka. Este ataque emprega a técnica ClickFix, que apresenta um CAPTCHA falso semelhante ao verificador humano da Cloudflare, enganando os usuários para que executem código malicioso. Segundo pesquisadores da Malwarebytes, esta é a primeira campanha documentada no macOS que combina a entrega via ClickFix com um infostealer baseado em Python compilado com Nuitka. O uso do Nuitka resulta em um binário nativo que é mais resistente à análise estática, tornando a engenharia reversa mais difícil em comparação com ferramentas como PyInstaller. O ataque começa com um isco ClickFix no domínio update-check[.]com, que solicita que o usuário cole um comando obfuscado no Terminal do macOS, contornando defesas do sistema operacional. O malware é capaz de coletar dados sensíveis, como credenciais de navegadores, entradas do Keychain do macOS e segredos em arquivos de desenvolvedor, exfiltrando essas informações via requisições HTTP POST. A Malwarebytes alerta que a evolução de ameaças como o Infinity Stealer demonstra que os riscos para usuários de macOS estão se tornando mais sofisticados e direcionados.