Malware

Pesquisadores da ESET identificaram o PromptSpy, o primeiro malware para Android que utiliza inteligência artificial generativa para aprimorar suas capacidades de ataque. Embora ainda seja uma prova de conceito, o malware é projetado para fornecer controle remoto sobre dispositivos infectados, utilizando um módulo de computação de rede virtual (VNC). O PromptSpy interage com o chatbot Gemini da Google, enviando comandos em linguagem natural para manipular o dispositivo atacado. Isso permite que os hackers adaptem seus ataques a diferentes versões do sistema operacional Android.

Pesquisadores da Threat Fabric identificaram um novo trojan bancário chamado Massiv, que está sendo distribuído por meio de aplicativos disfarçados de IPTV. Este malware tem sido utilizado em campanhas fraudulentas em diversos países, especialmente no sul da Europa. O Massiv possui funcionalidades avançadas, como overlay, keylogging e interceptação de SMS, permitindo que os hackers capturem credenciais e dados financeiros das vítimas. Um dos alvos do ataque foi o aplicativo gov.pt, utilizado em Portugal para autenticação digital, o que levanta preocupações sobre a segurança de informações sensíveis. Os hackers podem abrir contas em nome das vítimas e realizar transações fraudulentas, utilizando um canal WebSocket para controle remoto dos dispositivos infectados. A ameaça é particularmente atrativa para os usuários devido à promessa de serviços premium em aplicativos IPTV, levando-os a baixar APKs maliciosos. Embora o Massiv ainda não seja um malware-as-a-service, há indícios de que essa possibilidade possa surgir em breve, aumentando a disseminação do malware.

Pesquisadores de cibersegurança revelaram uma campanha ativa de worm na cadeia de suprimentos, denominada SANDWORM_MODE, que utiliza pelo menos 19 pacotes npm maliciosos para roubo de credenciais e chaves de criptomoedas. Os pacotes, publicados por dois aliases, contêm código malicioso que coleta informações do sistema, tokens de acesso e segredos de ambiente, além de se propagar por meio de identidades roubadas do npm e GitHub. A campanha inclui um módulo chamado ‘McpInject’, que visa assistentes de codificação baseados em IA, injetando um servidor de protocolo de contexto malicioso (MCP) em suas configurações. O malware também possui um mecanismo polimórfico para evitar detecções, sugerindo que os operadores pretendem lançar versões futuras. Os usuários que instalaram esses pacotes devem removê-los imediatamente, rotacionar tokens e revisar arquivos de configuração para alterações inesperadas. A situação é crítica, pois a campanha representa um alto risco de comprometimento ativo, exigindo atenção imediata dos profissionais de segurança da informação.

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades críticas. Um dos destaques é a exploração de uma falha de segurança de gravidade máxima no Dell RecoverPoint para Máquinas Virtuais, identificada como CVE-2026-22769, que permite a execução de comandos como root e a instalação de backdoors. Além disso, dois ex-engenheiros do Google foram indiciados por roubo de segredos comerciais, transferindo informações sensíveis para o Irã. Outro ponto alarmante é a descoberta do malware PromptSpy, que utiliza inteligência artificial para garantir sua persistência em dispositivos Android, visando usuários na Argentina. Também foi identificado um novo malware chamado Keenadu, embutido no firmware de dispositivos Android, que pode coletar dados e controlar remotamente os aparelhos. Por fim, um estudo questionou as alegações de ‘zero knowledge’ de gerenciadores de senhas como Bitwarden e LastPass, revelando que, em certas circunstâncias, dados podem ser acessados por insiders maliciosos. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas para mitigar riscos.

O grupo de hackers iraniano MuddyWater, também conhecido como Earth Vetala, iniciou uma nova campanha chamada Operação Olalampo, visando organizações e indivíduos na região do Oriente Médio e Norte da África (MENA). Desde 26 de janeiro de 2026, a campanha tem utilizado novas famílias de malware, como o downloader GhostFetch e o backdoor CHAR, além de um implante avançado chamado GhostBackDoor. Os ataques geralmente começam com e-mails de phishing que contêm documentos do Microsoft Office com macros maliciosas, permitindo que os atacantes assumam o controle remoto dos sistemas.

O Arkanix Stealer, uma operação de malware voltada para roubo de informações, foi promovido em fóruns da dark web no final de 2025 e parece ter sido desenvolvido com assistência de inteligência artificial. O projeto, que incluiu um painel de controle e um servidor no Discord para interação com os usuários, foi descontinuado pelo autor apenas dois meses após seu lançamento. O malware apresenta uma arquitetura modular e recursos anti-análise, permitindo a coleta de informações do sistema, dados de navegadores e carteiras de criptomoedas de 22 navegadores diferentes. Além disso, é capaz de extrair tokens 0Auth2 de navegadores baseados em Chromium e roubar credenciais de plataformas como Telegram e Discord. A versão premium, escrita em C++, oferece funcionalidades adicionais, como roubo de credenciais RDP e captura de tela. Os pesquisadores da Kaspersky sugerem que o Arkanix foi um experimento de desenvolvimento rápido, visando lucros financeiros imediatos, o que dificulta sua detecção e rastreamento. A operação levanta preocupações sobre a utilização de assistentes de linguagem para o desenvolvimento de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Recentemente, foi identificado que mais de um bilhão de smartphones Android, representando cerca de 42% dos dispositivos ativos, estão vulneráveis a malwares devido a falhas de segurança que não serão corrigidas. Essa situação afeta principalmente aparelhos que operam com Android 12 ou versões anteriores, que não receberão mais atualizações de segurança. A fragmentação do sistema operacional entre diferentes fabricantes dificulta a aplicação de correções em massa, tornando esses dispositivos alvos fáceis para hackers.

Cibercriminosos estão utilizando páginas falsas de CAPTCHA para disseminar malware, explorando uma vulnerabilidade no Windows. O ataque envolve a clonagem de páginas de CAPTCHA legítimas, levando os usuários a baixar um software malicioso conhecido como Stealthy StealC Information Stealer. O método é particularmente insidioso, pois as vítimas são induzidas a executar comandos no teclado que instalam o malware sem que percebam. Após abrir a janela ‘Executar’ do Windows, os usuários são instruídos a colar um comando malicioso que, ao ser executado, carrega um script do PowerShell, permitindo a instalação do malware. O objetivo principal é roubar informações de login de serviços populares, como Outlook, Steam e carteiras de criptomoedas. Especialistas alertam que qualquer solicitação para executar comandos desconhecidos em páginas de CAPTCHA deve ser vista com desconfiança, pois pode resultar em comprometimento de dados pessoais. A proteção contra esse tipo de ataque envolve a conscientização sobre as instruções que podem ser solicitadas em páginas de segurança, evitando a execução de comandos desconhecidos.

Recentemente, o programador Don Ho lançou a versão 8.9.2 do Notepad++, que corrige uma falha crítica de segurança que permitia a hackers invadir o mecanismo de atualização do editor de códigos e inserir malwares. Essa vulnerabilidade, identificada como CVE-2026-25927, possibilitava a execução arbitrária de códigos no contexto do aplicativo, afetando usuários em diversas regiões, incluindo América do Sul, Austrália e Europa. A nova versão implementa medidas de segurança robustas, como a verificação da assinatura do instalador e a remoção de componentes inseguros, como o libcurl.dll, que poderia ser explorado para carregamento lateral de DLLs. Pesquisadores de segurança, como os da Rapid7 e Kaspersky, relataram que a backdoor chamada Chrysalis foi utilizada por um grupo hacker chinês, o Lotus Panda, desde junho de 2025. Diante disso, é altamente recomendável que os usuários atualizem imediatamente para a versão 8.9.2 e verifiquem a origem do instalador para garantir a segurança de seus sistemas.

O FBI divulgou um alerta sobre o aumento significativo de ataques conhecidos como ‘jackpotting’ em caixas eletrônicos nos Estados Unidos, que resultaram em um roubo de mais de 20 milhões de dólares nos últimos anos. Esses ataques envolvem a instalação de malware, especificamente a variante Ploutus, que permite que os criminosos dispensem dinheiro dos caixas eletrônicos sem a necessidade de cartões ou autorizações bancárias. Desde 2020, foram registrados cerca de 1.900 casos, com 700 ocorrências apenas em 2025, representando aproximadamente 37% de todos os incidentes. Os atacantes utilizam chaves genéricas amplamente disponíveis para abrir os caixas eletrônicos, onde podem remover o disco rígido, infectá-lo com malware ou substituí-lo por um já comprometido. É importante destacar que, nesses ataques, os clientes dos bancos não são os alvos, mas sim as instituições financeiras, já que os criminosos não precisam de informações pessoais dos usuários. O FBI recomenda que os bancos e instituições financeiras adotem medidas de segurança mais rigorosas para proteger seus caixas eletrônicos contra essas ameaças.

Recentemente, a Proton alertou sobre a presença de extensões falsas do Proton VPN na Chrome Web Store, que permaneceram ativas por semanas antes de serem removidas. A empresa notificou o Google pelo menos três vezes neste ano sobre essas extensões fraudulentas, que foram capazes de passar pelos processos de verificação da loja. Os atacantes utilizaram o nome e a marca da Proton para enganar os usuários e instalar softwares maliciosos, com o objetivo de roubar credenciais de login e monitorar atividades de navegação. A Proton criticou a lentidão do processo de remoção, afirmando que cada minuto que essas extensões permanecem online representa um risco à segurança de centenas de milhares de pessoas. O alerta destaca a vulnerabilidade dos usuários a ferramentas maliciosas que se disfarçam como aplicativos legítimos, especialmente em um cenário onde a demanda por VPNs confiáveis é alta, como na Rússia. Para se proteger, a Proton recomenda que os usuários acessem diretamente o site oficial da empresa para baixar suas ferramentas, em vez de buscar na loja de extensões. Além disso, é importante verificar a identidade do desenvolvedor e os tipos de permissões solicitadas pelas extensões antes da instalação.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova campanha chamada ClickFix, que utiliza sites legítimos comprometidos para distribuir um novo trojan de acesso remoto (RAT) conhecido como MIMICRAT. A campanha é caracterizada por sua sofisticação operacional, envolvendo uma cadeia de PowerShell em múltiplas etapas que contorna mecanismos de segurança do Windows, como ETW e AMSI, antes de implantar um loader baseado em Lua. O MIMICRAT, desenvolvido em C++, oferece suporte a funcionalidades avançadas, como a manipulação de tokens do Windows e tunelamento SOCKS5, permitindo um controle abrangente após a exploração. O ataque começa com a injeção de código JavaScript malicioso em um serviço legítimo de validação de BIN, que redireciona a vítima para uma página falsa de verificação do Cloudflare. A execução de comandos PowerShell leva à comunicação com um servidor de comando e controle (C2) para baixar scripts adicionais, culminando na entrega do MIMICRAT. A campanha é capaz de se adaptar a 17 idiomas, aumentando seu alcance. Os alvos incluem uma universidade nos EUA e usuários de língua chinesa, indicando uma abordagem oportunista e ampla.

O FBI alertou que os americanos perderam mais de 20 milhões de dólares no ano passado devido a um aumento significativo nos ataques de ‘jackpotting’ em caixas eletrônicos, onde criminosos utilizam malware para forçar as máquinas a liberar dinheiro. Em um alerta divulgado na quinta-feira, o FBI informou que mais de 700 incidentes de jackpotting foram registrados no último ano, um aumento considerável em relação aos cerca de 1.900 incidentes reportados desde 2020. Esses ataques, que podem ser realizados em minutos, visam a camada de software que controla o hardware físico do caixa eletrônico, utilizando ferramentas maliciosas como o malware Ploutus. O FBI explicou que, ao explorar o eXtensions for Financial Services (XFS), o malware permite que os criminosos emitam comandos diretamente ao caixa eletrônico, dispensando a autorização do banco. Para instalar o malware, os atacantes geralmente obtêm acesso físico ao caixa eletrônico, utilizando chaves genéricas. O FBI recomendou que as instituições financeiras realizem auditorias em seus sistemas de caixas eletrônicos para detectar o uso não autorizado de armazenamento removível e processos não autorizados. O alerta surge após uma série de prisões de membros da gangue Tren de Aragua, envolvidos em um esquema de jackpotting que resultou em milhões de dólares em perdas.

Pesquisadores da ESET identificaram o primeiro malware Android conhecido a utilizar IA generativa em sua execução, denominado ‘PromptSpy’. Este malware se aproveita do modelo Gemini da Google para adaptar sua persistência em diferentes dispositivos. A descoberta ocorreu em fevereiro de 2026, com a primeira versão, chamada VNCSpy, sendo detectada em janeiro do mesmo ano. O PromptSpy utiliza a IA para enviar comandos que permitem ’travar’ aplicativos na lista de aplicativos recentes, dificultando sua remoção. Essa técnica é especialmente eficaz, pois varia entre fabricantes, e a IA ajuda a automatizar o processo. Além de sua capacidade de persistência, o PromptSpy atua como spyware, permitindo acesso remoto completo aos dispositivos infectados, podendo capturar senhas, gravar a tela e interceptar informações sensíveis. Para dificultar a desinstalação, o malware sobrepõe botões invisíveis sobre a interface do usuário. Embora a ESET ainda não tenha observado o PromptSpy em sua telemetria, a presença de domínios dedicados para distribuição sugere que ele pode ter sido utilizado em ataques reais. Essa nova abordagem de malware destaca como a IA generativa pode ser utilizada para aprimorar a eficácia de ataques cibernéticos, representando uma preocupação crescente para a segurança digital.

O Google anunciou que, até 2025, bloqueou mais de 255 mil aplicativos Android que tentavam obter acesso excessivo a dados sensíveis dos usuários e rejeitou mais de 1,75 milhão de aplicativos por violação de políticas. Em sua revisão anual de segurança do Android e Google Play, a empresa destacou a eficácia das medidas de proteção implementadas para manter um ecossistema seguro. Para isso, foram realizados mais de 10 mil checagens de segurança em aplicativos publicados, e a detecção de padrões maliciosos foi aprimorada com a integração de modelos de IA generativa. Entre as ações de proteção, o Google baniu mais de 80 mil contas de desenvolvedores considerados ruins e bloqueou 266 milhões de tentativas de instalação de aplicativos arriscados. O Play Protect, que verifica diariamente mais de 350 bilhões de aplicativos, identificou mais de 27 milhões de aplicativos maliciosos que foram instalados fora do Google Play. Além disso, novas proteções contra ataques de ’tapjacking’ foram adicionadas no Android 16. O Google continuará investindo em defesas baseadas em IA e expandindo a verificação de desenvolvedores para prevenir violações de políticas antes da publicação dos aplicativos.

Pesquisadores de cibersegurança identificaram o PromptSpy, o primeiro malware para Android que utiliza o chatbot de inteligência artificial Gemini, da Google, para executar suas funções maliciosas e garantir sua persistência no dispositivo. O PromptSpy é capaz de capturar dados da tela de bloqueio, bloquear tentativas de desinstalação, coletar informações do dispositivo, tirar capturas de tela e gravar a atividade da tela em vídeo. O malware se comunica com um servidor de comando e controle para receber instruções sobre como interagir com a interface do usuário, utilizando a IA para adaptar suas ações a diferentes dispositivos e versões do sistema operacional. O principal objetivo do PromptSpy é implantar um módulo VNC que permite acesso remoto ao dispositivo da vítima. A análise sugere que a campanha é motivada financeiramente e direcionada a usuários na Argentina, com indícios de que o malware foi desenvolvido em um ambiente de língua chinesa. O PromptSpy é distribuído por um site dedicado e não está disponível no Google Play, o que aumenta o risco de infecção para os usuários desavisados.

Matthew Abiodun Akande, um cidadão nigeriano de 37 anos, foi condenado a oito anos de prisão por hackear várias empresas de preparação de impostos em Massachusetts e apresentar declarações fiscais fraudulentas que buscavam mais de US$ 8,1 milhões em reembolsos. Akande foi preso em outubro de 2024 no Aeroporto de Heathrow, em Londres, e extraditado para os Estados Unidos em março de 2025. Ele foi indiciado em julho de 2022, enquanto residia no México.

O cenário de cibersegurança continua a evoluir rapidamente, com novas ameaças e táticas emergindo constantemente. O Google lançou a versão beta do Android 17, que inclui melhorias significativas em privacidade e segurança, como a descontinuação do tráfego em texto claro e suporte à criptografia híbrida HPKE. Por outro lado, o ransomware LockBit 5.0 se destaca por suas técnicas avançadas de evasão e suporte a múltiplas plataformas, incluindo Proxmox, um alvo crescente entre empresas. Além disso, novas campanhas de engenharia social, como ClickFix, estão explorando usuários de macOS através de técnicas de obfuscação, levando à instalação de malware e roubo de credenciais. A detenção de um suspeito na Polônia, ligado ao grupo de ransomware Phobos, e o aumento de ataques a organizações industriais, com um crescimento de 49% em grupos de ransomware focados nesse setor, destacam a gravidade da situação. A Microsoft também enfrentou um problema de segurança com o Copilot, que resumiu e-mails confidenciais sem permissão, violando políticas de proteção de dados. Esses eventos ressaltam a necessidade urgente de que as organizações reavaliem suas estratégias de segurança e resposta a incidentes.

Um novo malware bancário para Android, denominado Massiv, está se disfarçando como um aplicativo de IPTV para roubar identidades digitais e acessar contas bancárias online. O malware utiliza sobreposições de tela e keylogging para obter dados sensíveis e pode assumir o controle remoto de dispositivos comprometidos. Pesquisadores da ThreatFabric observaram uma campanha que visava um aplicativo do governo português, que se conecta ao sistema de autenticação digital Chave Móvel Digital. Os dados obtidos podem ser usados para contornar verificações de KYC e acessar serviços bancários e públicos. O Massiv permite que os operadores controlem remotamente o dispositivo infectado, utilizando modos de transmissão ao vivo e extração de dados estruturados. A pesquisa também destacou uma tendência crescente de uso de aplicativos IPTV como iscas para infecções por malware, especialmente em países como Portugal, Espanha, França e Turquia. Os usuários de Android são aconselhados a baixar apenas aplicativos de fontes confiáveis e a manter o Play Protect ativo para proteger seus dispositivos.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha CRESCENTHARVEST, que parece ter como alvo apoiadores dos protestos no Irã, visando roubo de informações e espionagem a longo prazo. A Acronis Threat Research Unit (TRU) observou atividades suspeitas a partir de 9 de janeiro, onde ataques foram projetados para entregar um trojan de acesso remoto (RAT) e um ladrão de informações. Os ataques utilizam arquivos .LNK disfarçados como imagens ou vídeos relacionados aos protestos, aumentando a credibilidade para atrair iranianos que falam farsi. Embora a origem da campanha não tenha sido atribuída, acredita-se que seja obra de um grupo de ameaças alinhado ao Irã. O vetor de acesso inicial ainda não é conhecido, mas suspeita-se do uso de spear-phishing e engenharia social. Os arquivos maliciosos contêm código PowerShell que baixa um arquivo ZIP com um executável legítimo da Google, que é utilizado para realizar atividades maliciosas, como roubo de credenciais e dados do sistema. A campanha CRESCENTHARVEST representa uma continuidade de operações de espionagem cibernética de estado-nação, refletindo táticas bem estabelecidas de acesso inicial e coleta de dados.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan para Android chamado Massiv, que facilita ataques de tomada de controle de dispositivos (DTO) visando o roubo financeiro. O malware se disfarça como aplicativos IPTV inofensivos, atraindo usuários em busca de serviços de TV online. Segundo a ThreatFabric, o Massiv permite que os operadores controlem remotamente dispositivos infectados, realizando transações fraudulentas nas contas bancárias das vítimas.

Entre suas funcionalidades, o Massiv utiliza técnicas como streaming de tela, keylogging e sobreposições falsas em aplicativos financeiros, solicitando que os usuários insiram suas credenciais. Um dos alvos identificados foi o aplicativo gov.pt, que gerencia documentos de identificação em Portugal. Os criminosos têm usado as informações capturadas para abrir contas bancárias em nome das vítimas, facilitando atividades como lavagem de dinheiro.

A ascensão da Inteligência Artificial Generativa (GenAI) está transformando o cenário da cibersegurança, permitindo que hackers desenvolvam malware de forma mais rápida e complexa. Um relatório da Palo Alto, intitulado ‘Unit 42 Global Incident Response Report’, revela que o tempo necessário para exfiltração de dados caiu de cinco horas para apenas 72 minutos, um aumento significativo na eficiência dos ataques. O navegador continua sendo o principal alvo, com 48% dos incidentes ocorrendo nesse ambiente, mas a complexidade dos ataques está crescendo, com 87% das intrusões abrangendo múltiplas superfícies de ataque. Além disso, fraquezas de identidade e ataques à cadeia de suprimentos estão se tornando comuns, com 65% dos acessos iniciais resultantes de engenharia social. Os ataques a aplicações SaaS aumentaram quase quatro vezes desde 2022, representando 23% de todos os ataques. Os operadores de ransomware estão mudando seu foco de criptografia para a extração de dados, o que torna a detecção mais difícil para os defensores. Essa evolução no uso da IA pelos atacantes representa um desafio crescente para a comunidade de cibersegurança, exigindo uma resposta mais robusta e ágil das organizações.

Pesquisadores da Check Point, uma empresa de cibersegurança, descobriram que assistentes de IA como Grok e Microsoft Copilot podem ser explorados para intermediar atividades de comando e controle (C2) em ataques cibernéticos. A técnica envolve o uso de uma interface web de IA para relatar comunicações entre um servidor C2 e a máquina alvo, permitindo que atacantes enviem comandos e recuperem dados roubados sem serem detectados. O malware se comunica com o assistente de IA através do componente WebView2 do Windows 11, que pode ser embutido no próprio malware caso não esteja presente no sistema da vítima. A pesquisa demonstrou que essa abordagem cria um canal de comunicação bidirecional, confiável para ferramentas de segurança da internet, dificultando a detecção. O uso de serviços de IA para C2 elimina a necessidade de contas ou chaves de API, tornando a rastreabilidade e a aplicação de bloqueios mais complicadas. Embora existam salvaguardas para bloquear trocas maliciosas, os pesquisadores afirmam que essas podem ser facilmente contornadas através da criptografia de dados. A Check Point alertou a Microsoft e a xAI sobre suas descobertas, mas ainda não houve resposta sobre a vulnerabilidade do Copilot.

O Notepad++ lançou uma atualização de segurança, versão 8.9.2, para corrigir vulnerabilidades exploradas por um grupo de ameaças avançadas da China. O ataque permitiu que os invasores sequestrassem o mecanismo de atualização do software, entregando malware a alvos específicos. A nova versão implementa um design de ‘dupla segurança’, que inclui a verificação do instalador assinado baixado do GitHub e a verificação do XML assinado retornado pelo servidor de atualizações. Além disso, foram feitas alterações significativas no componente de atualização automática, WinGUp, como a remoção de riscos de side-loading de DLLs e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. A atualização também corrige uma vulnerabilidade crítica (CVE-2026-25926) que poderia permitir a execução de código arbitrário. O incidente foi detectado após um comprometimento no provedor de hospedagem, que redirecionou usuários para servidores maliciosos desde junho de 2025. Usuários do Notepad++ são aconselhados a atualizar para a versão mais recente e garantir que os instaladores sejam baixados do domínio oficial.

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.

Pesquisadores em cibersegurança revelaram que assistentes de inteligência artificial (IA) com capacidades de navegação na web podem ser utilizados como relés de comando e controle (C2) por atacantes. Essa técnica, chamada de ‘IA como proxy C2’, foi demonstrada em ferramentas como Microsoft Copilot e xAI Grok. O método permite que os atacantes se misturem a comunicações empresariais legítimas, dificultando a detecção. Ao explorar o acesso anônimo à web e prompts de navegação, os atacantes podem gerar fluxos de trabalho de reconhecimento, automatizar ações e decidir dinamicamente os próximos passos durante uma intrusão. O uso de IA como proxy C2 transforma assistentes em canais de comunicação bidirecionais, permitindo que comandos sejam emitidos e dados da vítima sejam extraídos sem a necessidade de chaves de API ou contas registradas. Essa abordagem se assemelha a campanhas de ataque que utilizam serviços confiáveis para distribuição de malware. Para que essa técnica funcione, o invasor deve ter previamente comprometido uma máquina e instalado malware que utilize o assistente de IA como canal de C2. A evolução dessa técnica representa um risco significativo, pois pode automatizar decisões operacionais em tempo real, aumentando a eficácia dos ataques.

Pesquisadores de segurança da Hudson Rock relataram o primeiro ataque de malware infostealer direcionado ao OpenClaw, um assistente de IA de código aberto. O ataque resultou na exfiltração de arquivos de configuração que contêm segredos sensíveis, como chaves de API e tokens de autenticação, que podem permitir acesso a aplicativos conectados, como Telegram e calendários. O OpenClaw, que permite a automação de tarefas, exige que os usuários forneçam essas informações para funcionar corretamente. A Hudson Rock observou que os hackers não estavam atacando diretamente o OpenClaw, mas sim utilizando um infostealer para coletar o máximo de arquivos sensíveis possível do sistema comprometido. Os pesquisadores alertam que, à medida que o OpenClaw se torna mais popular, a probabilidade de ataques direcionados a esses dados aumentará, com a possibilidade de que desenvolvedores de malware criem módulos específicos para decifrar e extrair informações de assistentes de IA. Essa evolução no comportamento dos infostealers representa um risco crescente para fluxos de trabalho profissionais que dependem de assistentes de IA.

Pesquisadores de cibersegurança revelaram uma nova campanha chamada SmartLoader, que utiliza uma versão trojanizada de um servidor do Modelo de Contexto de Protocolo (MCP) associado à Oura Health para distribuir um infostealer conhecido como StealC. Os atacantes clonaram um servidor legítimo da Oura, que conecta assistentes de IA aos dados de saúde do Oura Ring, e criaram uma infraestrutura enganosa com repositórios falsos no GitHub para dar credibilidade ao ataque. O objetivo é roubar credenciais, senhas de navegadores e dados de carteiras de criptomoedas. A campanha, que começou a ser destacada em 2024, utiliza repositórios disfarçados como cheats de jogos e software pirata para atrair vítimas. A análise mais recente mostra que os atacantes investiram meses para construir uma rede de contas e repositórios falsos antes de lançar o malware. O ataque é realizado em quatro etapas, culminando na submissão do servidor trojanizado ao mercado MCP, onde usuários desavisados podem encontrá-lo entre opções legítimas. As organizações são aconselhadas a revisar a segurança dos servidores MCP instalados e monitorar tráfego suspeito para mitigar essa ameaça.

A crescente adoção do assistente de IA OpenClaw tem gerado preocupações de segurança, especialmente após a detecção de malware que rouba arquivos associados a essa ferramenta. O OpenClaw, que opera localmente e mantém um ambiente de configuração persistente, permite acesso a arquivos locais e interação com serviços online. Recentemente, a Hudson Rock documentou um caso em que um infostealer conseguiu extrair dados sensíveis do OpenClaw, incluindo chaves de API e tokens de autenticação. Os arquivos comprometidos, como openclaw.json e device.json, contêm informações críticas que podem permitir a um atacante se passar pelo dispositivo da vítima e acessar serviços em nuvem. A Hudson Rock alerta que essa é uma evolução significativa no comportamento de infostealers, que agora estão mirando na identidade digital dos assistentes pessoais de IA. Além disso, uma vulnerabilidade severa foi descoberta em um assistente de IA semelhante, o Nanobot, que poderia permitir que atacantes assumissem sessões do WhatsApp. Com a popularidade crescente do OpenClaw, espera-se que os infostealers continuem a focar nessa ferramenta, aumentando o risco para os usuários.

Pesquisadores em cibersegurança identificaram um caso de infecção por malware que conseguiu exfiltrar dados de configuração do ambiente OpenClaw, uma plataforma de inteligência artificial. Este incidente representa uma evolução significativa no comportamento de infostealers, que agora estão focando na coleta de identidades e informações sensíveis de agentes de IA, em vez de apenas credenciais de navegadores. O malware, possivelmente uma variante do Vidar, utilizou uma rotina de captura de arquivos para acessar dados críticos, incluindo tokens de autenticação e diretrizes operacionais dos agentes. A captura do token de autenticação pode permitir que atacantes se conectem remotamente ao OpenClaw da vítima. Além disso, a plataforma OpenClaw enfrenta problemas de segurança, como a exposição de instâncias que podem levar a riscos de execução remota de código (RCE). A crescente popularidade do OpenClaw, que já conta com mais de 200 mil estrelas no GitHub, torna-o um alvo atraente para ataques de cadeia de suprimentos. A situação é agravada por campanhas de habilidades maliciosas que burlam a detecção de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Os ataques à cadeia de suprimento, conhecidos como Supply Chain Attacks, são uma forma de cibercrime que explora a confiança dos usuários em softwares e atualizações legítimas. Ao invés de invadir diretamente um sistema, os hackers comprometem a distribuição de software, injetando malware em atualizações que parecem seguras. Um exemplo notório é o ataque ao SolarWinds em 2020, onde hackers russos inseriram código malicioso em um software amplamente utilizado por empresas e agências governamentais dos EUA, permitindo espionagem sem ser detectado por meses. Outro caso relevante foi o do CCleaner em 2017, que também teve sua versão oficial comprometida, permitindo acesso remoto a agentes maliciosos. Esses ataques são difíceis de detectar porque muitas vezes utilizam chaves de assinatura legítimas, fazendo com que o sistema reconheça o software como seguro. Para mitigar esses riscos, surge o conceito de Software Bill of Materials (SBOM), que exige transparência sobre os componentes de um software antes de sua instalação. Isso pode ajudar a identificar e prevenir a instalação de softwares maliciosos disfarçados.

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

Recentemente, pesquisadores da Microsoft identificaram uma nova variante dos ataques ClickFix, que agora utilizam consultas DNS como um canal para entregar malware. Esses ataques enganam os usuários a executar comandos maliciosos, disfarçados como soluções para erros ou atualizações de sistema. Nesta nova abordagem, os atacantes controlam um servidor DNS que fornece um script PowerShell malicioso durante a execução do comando nslookup. Ao invés de consultar o servidor DNS padrão do sistema, os usuários são instruídos a consultar um servidor DNS controlado pelo atacante, que retorna um payload malicioso. O script, uma vez executado, baixa um arquivo ZIP contendo um executável Python e scripts maliciosos que realizam reconhecimento no dispositivo infectado e estabelecem persistência no sistema. Essa técnica inovadora permite que os atacantes modifiquem os payloads em tempo real, camuflando suas atividades no tráfego DNS normal. Os ataques ClickFix têm evoluído rapidamente, com novas táticas e tipos de payloads sendo utilizados, incluindo a exploração de aplicativos como o Azure CLI para comprometer contas Microsoft sem senha. Essa evolução representa um risco significativo para a segurança cibernética, exigindo atenção redobrada das organizações.

Um novo relatório da CTM360 revela que mais de 4.000 grupos maliciosos do Google e 3.500 URLs hospedadas pelo Google estão sendo utilizados em uma campanha ativa de malware que visa organizações globais. Os atacantes exploram a confiança no ecossistema do Google para distribuir malware que rouba credenciais e estabelece acesso persistente em dispositivos comprometidos. A campanha utiliza engenharia social em fóruns do Google Groups, onde os criminosos postam discussões técnicas que parecem legítimas, incorporando nomes de organizações e palavras-chave relevantes para aumentar a credibilidade. Links de download disfarçados são utilizados para direcionar os usuários a arquivos maliciosos. Para usuários do Windows, o malware Lumma Stealer é entregue em um arquivo compactado protegido por senha, enquanto usuários do Linux são redirecionados para baixar um navegador trojanizado chamado Ninja Browser, que instala extensões maliciosas sem consentimento. A campanha representa um risco significativo para as organizações, incluindo roubo de credenciais e execução remota de comandos. A CTM360 recomenda que as organizações inspecionem URLs encurtadas, bloqueiem indicadores de comprometimento e eduquem os usuários sobre os riscos de downloads de fontes não verificadas.

A Microsoft revelou uma nova versão da tática de engenharia social chamada ClickFix, onde atacantes induzem usuários a executar comandos que realizam consultas DNS para obter um payload malicioso. O ataque utiliza o comando ’nslookup’ através do diálogo de execução do Windows, permitindo que os criminosos contornem controles de segurança. O ClickFix é frequentemente disseminado por meio de phishing, malvertising ou downloads automáticos, redirecionando as vítimas para páginas falsas que simulam verificações de CAPTCHA ou instruções para resolver problemas inexistentes. Essa técnica tem se tornado comum nos últimos dois anos, levando os usuários a infectarem suas próprias máquinas. A nova variante usa DNS como um canal leve de sinalização, reduzindo a dependência de requisições web tradicionais e misturando atividades maliciosas ao tráfego normal da rede. O payload baixado inicia uma cadeia de ataque que resulta na execução de um trojan de acesso remoto, ModeloRAT. Além disso, a Bitdefender reportou um aumento na atividade do Lumma Stealer, impulsionado por campanhas de ClickFix que utilizam verificações de CAPTCHA falsas. O artigo destaca a resiliência das operações de Lumma Stealer, que continuam a evoluir apesar de esforços de interrupção por parte das autoridades.

Uma nova variação da campanha de recrutamento falso, atribuída a atores de ameaça da Coreia do Norte, está focando em desenvolvedores de JavaScript e Python com tarefas relacionadas a criptomoedas. Desde maio de 2025, essa atividade se caracteriza pela modularidade, permitindo que os atacantes retomem rapidamente as operações após uma possível comprometimento. Os criminosos utilizam pacotes publicados nos repositórios npm e PyPi como downloaders para um trojan de acesso remoto (RAT). Pesquisadores identificaram 192 pacotes maliciosos, nomeados ‘Graphalgo’, que se disfarçam como ofertas de emprego em empresas fictícias do setor de blockchain e comércio de criptomoedas. Os desenvolvedores que se candidatam são induzidos a executar códigos que instalam dependências maliciosas em seus sistemas. Um exemplo notável é o pacote ‘bigmathutils’, que, após 10.000 downloads, introduziu cargas maliciosas em sua versão 1.1.0. A campanha é atribuída ao grupo Lazarus, com base em sua abordagem e no foco em criptomoedas, além de evidências de que os commits no GitHub seguem o fuso horário da Coreia do Norte. Os desenvolvedores que instalaram esses pacotes devem rotacionar tokens e senhas de conta e reinstalar seus sistemas operacionais.

A recente pesquisa revela que atores de ameaças estão explorando artefatos gerados pelo modelo de linguagem Claude, da Antropic, e anúncios do Google em campanhas ClickFix para distribuir malware infostealer a usuários de macOS. Observou-se pelo menos duas variantes dessa atividade maliciosa, com mais de 10.000 acessos a conteúdos que orientam os usuários a executar comandos perigosos no Terminal. Os artefatos, que podem incluir instruções e guias, não são verificados quanto à precisão, o que aumenta o risco. As campanhas maliciosas direcionam os usuários a executar comandos que baixam um loader de malware, o MacSync, que exfiltra informações sensíveis do sistema. O malware se comunica com a infraestrutura de comando e controle (C2) utilizando um token codificado e um key API, disfarçando-se como atividade normal do macOS. A pesquisa indica que a mesma ameaça pode estar por trás de outras campanhas semelhantes, ampliando a preocupação sobre o uso indevido de modelos de linguagem. Especialistas recomendam que os usuários evitem executar comandos desconhecidos e verifiquem a segurança das instruções antes de qualquer execução.

Um relatório do Google Threat Intelligence Group (GTIG) revela que diversos grupos patrocinados por estados, entidades hacktivistas e organizações criminosas de países como China, Irã, Coreia do Norte e Rússia estão focando suas atividades no setor de defesa industrial (DIB). As táticas observadas incluem a exploração de processos de contratação, ataques a dispositivos de ponta e riscos na cadeia de suprimentos. Os grupos têm demonstrado interesse crescente em veículos autônomos e drones, que são cada vez mais utilizados em conflitos modernos, como a guerra na Ucrânia. Entre os atores notáveis estão o APT44, que tentou extrair informações de aplicativos de mensagens criptografadas, e o UNC5125, que realizou campanhas direcionadas a operadores de drones na Ucrânia. O relatório destaca que o setor de defesa está sob um cerco constante, com intrusões frequentes e ameaças de extorsão, o que exige atenção redobrada dos profissionais de segurança cibernética.

Um novo ator de ameaças, ainda não documentado, foi identificado em ataques direcionados a organizações ucranianas, utilizando um malware chamado CANFAIL. O Google Threat Intelligence Group (GTIG) sugere que esse grupo pode estar associado a serviços de inteligência russos e tem como alvos principais instituições de defesa, governo e energia na Ucrânia. Recentemente, o grupo ampliou seu foco para incluir organizações de aeroespacial, manufatura militar, e até mesmo empresas de pesquisa nuclear e química.

Um novo relatório da Picus Security, intitulado The Red Report 2026, revela que malwares estão adotando técnicas sofisticadas para se infiltrar em sistemas e evitar detecções. A pesquisa analisou mais de 1,1 milhão de arquivos maliciosos e 15,5 milhões de ações hackers em 2025, destacando uma mudança de foco dos ransomwares para a extração silenciosa de dados. Os hackers estão utilizando serviços confiáveis, como OpenAI e AWS, para ocultar suas atividades, e em 25% dos ataques, senhas roubadas de navegadores são usadas para se passar por usuários legítimos. O cofundador da Picus, Süleyman Özarslan, descreve essa abordagem como a de um ‘parasita digital’, onde a permanência no sistema da vítima é mais lucrativa do que a destruição. Além disso, malwares como o LummaC2 estão utilizando trigonometria para detectar a movimentação do mouse, evitando ataques quando o usuário está em ambientes de segurança. O relatório também aponta que os malwares agora possuem em média 14 capacidades maliciosas e 12 técnicas anti-antivírus, exigindo que as empresas de segurança aprimorem suas defesas.

Grupos de cibercriminosos estão explorando ferramentas do Gemini para realizar ciberataques sofisticados, conforme revela uma análise do Google. Os hackers, que operam com apoio de governos como os da China, Irã, Coreia do Norte e Rússia, utilizam o Gemini para criar iscas de phishing, traduzir textos, programar e testar vulnerabilidades. Um caso notável envolveu o sequestro do perfil de um especialista em cibersegurança, que foi usado para automatizar análises de vulnerabilidades e desenvolver estratégias de ataque. Além disso, hackers iranianos têm utilizado o Gemini para criar ferramentas maliciosas personalizadas rapidamente. A automação de ataques e a personalização de malware são preocupações crescentes, pois permitem que os criminosos ampliem o alcance de suas campanhas, como as que induzem vítimas a executar comandos maliciosos através de anúncios. Embora o Gemini em si não represente uma ameaça direta, a utilização de suas ferramentas por hackers evidencia a evolução das táticas de cibercrime e a necessidade de vigilância constante por parte de usuários e empresas.

Um novo ator de ameaças, identificado como UAT-9921, tem utilizado um framework modular chamado VoidLink em campanhas direcionadas aos setores de tecnologia e serviços financeiros. De acordo com a Cisco Talos, essa ameaça pode estar ativa desde 2019, mas o uso do VoidLink parece ser recente. O malware, escrito em Zig, foi projetado para acesso furtivo a ambientes de nuvem baseados em Linux e é considerado o trabalho de um único desenvolvedor, possivelmente assistido por um modelo de linguagem grande (LLM). O VoidLink permite que os invasores instalem um comando e controle (C2) em hosts comprometidos, facilitando atividades de varredura e movimentação lateral na rede. Além disso, o framework possui mecanismos de furtividade que dificultam a detecção e a remoção. A análise sugere que o UAT-9921 pode ter conhecimento da língua chinesa, o que levanta preocupações sobre suas origens. A Cisco Talos também observou que o VoidLink pode ser utilizado para explorar vulnerabilidades em servidores internos, aumentando o risco para organizações que utilizam tecnologias vulneráveis. Com a capacidade de compilar plugins sob demanda, o VoidLink representa uma nova e significativa ameaça no cenário de cibersegurança.

Durante o Wild West Hackin’ Fest, o pesquisador de segurança Wietze Beukema apresentou várias vulnerabilidades em arquivos de atalho (.LNK) do Windows, que permitem a execução de payloads maliciosos. Beukema documentou quatro técnicas desconhecidas que manipulam esses arquivos para ocultar alvos maliciosos, enganando os usuários que verificam as propriedades do arquivo. Os arquivos LNK, introduzidos no Windows 95, utilizam um formato binário complexo que possibilita a criação de arquivos enganosos que parecem legítimos no Windows Explorer, mas que executam programas diferentes ao serem abertos. As falhas exploram inconsistências na priorização de caminhos de destino conflitantes dentro dos arquivos de atalho. A técnica mais poderosa envolve a manipulação da estrutura EnvironmentVariableDataBlock, permitindo que um alvo falso, como “invoice.pdf”, seja exibido, enquanto comandos maliciosos são executados. Apesar da gravidade das falhas, a Microsoft não as classificou como vulnerabilidades de segurança, argumentando que a exploração requer interação do usuário. Beukema, por sua vez, destacou que os usuários frequentemente ignoram avisos de segurança, o que torna esses ataques viáveis. Ele também lançou uma ferramenta de código aberto chamada “lnk-it-up” para testar e identificar arquivos LNK potencialmente maliciosos.

Pesquisadores em cibersegurança identificaram uma nova campanha maliciosa ligada ao grupo Lazarus, da Coreia do Norte, que utiliza pacotes maliciosos no npm e no PyPI. Nomeada de ‘graphalgo’, a campanha tem como alvo desenvolvedores através de plataformas como LinkedIn e Reddit, oferecendo falsas oportunidades de emprego em uma empresa fictícia de blockchain. Os pacotes, como ‘bigmathutils’, atraíram mais de 10.000 downloads antes de serem atualizados com cargas maliciosas. A estratégia envolve a criação de repositórios no GitHub que parecem legítimos, mas que contêm dependências maliciosas. Uma vez instaladas, essas dependências permitem que um trojan de acesso remoto (RAT) colete informações do sistema e execute comandos. Além disso, outra descoberta revelou um pacote chamado ‘duer-js’, que rouba informações sensíveis e extorque pagamentos em criptomoedas. Essa situação destaca a crescente sofisticação das ameaças cibernéticas, especialmente em ecossistemas de código aberto, e a necessidade de vigilância constante por parte dos desenvolvedores e empresas.

O Google revelou que o grupo de hackers UNC2970, vinculado à Coreia do Norte, está utilizando seu modelo de inteligência artificial generativa, Gemini, para realizar atividades de reconhecimento em alvos estratégicos. De acordo com o relatório do Google Threat Intelligence Group (GTIG), o grupo tem se concentrado em mapear informações sobre empresas de cibersegurança e defesa, além de perfis de cargos técnicos e dados salariais. Essa prática, que mistura pesquisa profissional com reconhecimento malicioso, permite que o grupo crie personas de phishing personalizadas e identifique alvos vulneráveis para compromissos iniciais.

Os infostealers, como o Atomic MacOS Stealer (AMOS), são mais do que simples malwares; eles são componentes fundamentais de uma economia de cibercrime que se concentra na coleta e comercialização de identidades digitais roubadas. Esses malwares atuam como motores de coleta de dados em larga escala, alimentando mercados subterrâneos onde credenciais, sessões e dados financeiros são comprados e vendidos, facilitando fraudes e invasões subsequentes. A eficácia dessas campanhas se deve à sua abordagem oportunista de engenharia social, que se adapta constantemente às tendências tecnológicas e explora plataformas confiáveis e softwares populares para enganar os usuários. O relatório de 2026 sobre a exposição de identidade de infostealers destaca o crescente domínio desses malwares na economia do cibercrime e seu impacto nas organizações. O AMOS, que apareceu pela primeira vez em maio de 2023, utiliza técnicas de disseminação sofisticadas, como campanhas de phishing e a exploração de assistentes pessoais de IA, para infectar usuários e roubar dados sensíveis. A pesquisa revela que a distribuição de AMOS se aproveita da popularidade de softwares como o OpenClaw, demonstrando como a engenharia social e a monetização de dados se entrelaçam para criar um ambiente de cibercrime altamente eficaz.

A atividade de ameaças cibernéticas nesta semana revela um padrão preocupante: os atacantes estão se concentrando em métodos já conhecidos, utilizando ferramentas confiáveis e explorando vulnerabilidades negligenciadas. A entrada inicial em sistemas está se tornando mais simples, enquanto as atividades pós-comprometimento estão mais estruturadas e persistentes, com o objetivo de permanecer infiltrado e extrair valor. Um exemplo é a falha de injeção de comando no Notepad da Microsoft (CVE-2026-20841), que permite a execução remota de código. Além disso, Taiwan se tornou um alvo frequente de ataques APT, com 173 operações registradas em 2025, refletindo sua importância geopolítica. Novos malwares, como LTX Stealer e Marco Stealer, estão sendo usados para roubo de credenciais e dados sensíveis. Uma campanha de engenharia social também está em andamento, visando contas do Telegram através do abuso de fluxos de autenticação. Por fim, a Discord anunciou um novo sistema de verificação de idade, levantando preocupações sobre a privacidade dos usuários após um incidente anterior que resultou no vazamento de dados de 70 mil usuários. Esses eventos destacam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Hackers apoiados por estados, incluindo grupos da China, Irã, Coreia do Norte e Rússia, estão utilizando o modelo de IA Gemini do Google para facilitar todas as etapas de ataques cibernéticos, desde a fase de reconhecimento até ações pós-comprometimento. O relatório do Google Threat Intelligence Group (GTIG) revela que esses atores maliciosos empregam a IA para criar perfis de alvos, gerar iscas de phishing, traduzir textos, realizar testes de vulnerabilidades e até desenvolver malware. Por exemplo, um ator da China simulou um cenário para automatizar a análise de vulnerabilidades, enquanto um grupo iraniano usou a IA para acelerar a criação de ferramentas maliciosas personalizadas. Além disso, a IA está sendo utilizada em campanhas de engenharia social, como as campanhas ClickFix, que distribuem malware para roubo de informações. O relatório também destaca tentativas de extração e destilação do modelo de IA, o que representa um risco significativo para a propriedade intelectual e o modelo de negócios de IA como serviço. O Google está tomando medidas para mitigar esses abusos, mas a ameaça continua crescente, especialmente com o aumento do interesse de cibercriminosos por ferramentas de IA.

Recentemente, observou-se um aumento nas infecções por LummaStealer, um malware do tipo infostealer que opera como uma plataforma de malware-as-a-service (MaaS). Essa onda de infecções é impulsionada por campanhas de engenharia social que utilizam a técnica ClickFix para entregar o malware CastleLoader. O LummaStealer, que foi severamente interrompido em maio de 2025 após a apreensão de 2.300 domínios por autoridades, voltou a operar em julho do mesmo ano. O CastleLoader, que surgiu em 2025, é um loader de malware que distribui diversas famílias de infostealers e trojans de acesso remoto, utilizando um modelo de execução modular e ofuscação extensiva. Ele realiza verificações de ambiente para evitar detecções e garante persistência ao se instalar no sistema. As campanhas atuais de LummaStealer visam usuários em todo o mundo, utilizando métodos como instaladores de software trojanizados e arquivos de mídia falsos. A técnica ClickFix, que envolve a apresentação de páginas falsas de verificação, tem se mostrado um vetor de infecção eficaz. Para se proteger, especialistas recomendam evitar downloads de fontes não confiáveis e não executar comandos desconhecidos em PowerShell.

Um novo malware disfarçado de aplicativo de antivírus, chamado ‘TrustBastion’, tem enganado usuários de dispositivos Android, oferecendo uma falsa sensação de segurança enquanto rouba informações sensíveis. Especialistas da Bitdefender alertam que o aplicativo, que se apresenta como uma solução de proteção, na verdade monitora o aparelho em tempo real, coletando senhas e credenciais de login de aplicativos de mensagens e bancos. O golpe começa com anúncios que alertam sobre uma suposta infecção no smartphone, levando o usuário a instalar o TrustBastion para ‘remover’ a ameaça. Após a instalação, o aplicativo solicita uma atualização que instala um arquivo APK malicioso, permitindo que os hackers monitorem a tela do dispositivo e capturem dados sensíveis, como PINs e padrões de desbloqueio. A situação é agravada pela capacidade dos criminosos de gerar novas variantes do malware a cada 15 minutos, dificultando sua detecção. Para se proteger, os especialistas recomendam que os usuários instalem aplicativos apenas na Play Store, a loja oficial do Google.