Malware

Recentemente, observou-se um aumento nas infecções por LummaStealer, um malware do tipo infostealer que opera como uma plataforma de malware-as-a-service (MaaS). Essa onda de infecções é impulsionada por campanhas de engenharia social que utilizam a técnica ClickFix para entregar o malware CastleLoader. O LummaStealer, que foi severamente interrompido em maio de 2025 após a apreensão de 2.300 domínios por autoridades, voltou a operar em julho do mesmo ano. O CastleLoader, que surgiu em 2025, é um loader de malware que distribui diversas famílias de infostealers e trojans de acesso remoto, utilizando um modelo de execução modular e ofuscação extensiva. Ele realiza verificações de ambiente para evitar detecções e garante persistência ao se instalar no sistema. As campanhas atuais de LummaStealer visam usuários em todo o mundo, utilizando métodos como instaladores de software trojanizados e arquivos de mídia falsos. A técnica ClickFix, que envolve a apresentação de páginas falsas de verificação, tem se mostrado um vetor de infecção eficaz. Para se proteger, especialistas recomendam evitar downloads de fontes não confiáveis e não executar comandos desconhecidos em PowerShell.

Um novo malware disfarçado de aplicativo de antivírus, chamado ‘TrustBastion’, tem enganado usuários de dispositivos Android, oferecendo uma falsa sensação de segurança enquanto rouba informações sensíveis. Especialistas da Bitdefender alertam que o aplicativo, que se apresenta como uma solução de proteção, na verdade monitora o aparelho em tempo real, coletando senhas e credenciais de login de aplicativos de mensagens e bancos. O golpe começa com anúncios que alertam sobre uma suposta infecção no smartphone, levando o usuário a instalar o TrustBastion para ‘remover’ a ameaça. Após a instalação, o aplicativo solicita uma atualização que instala um arquivo APK malicioso, permitindo que os hackers monitorem a tela do dispositivo e capturem dados sensíveis, como PINs e padrões de desbloqueio. A situação é agravada pela capacidade dos criminosos de gerar novas variantes do malware a cada 15 minutos, dificultando sua detecção. Para se proteger, os especialistas recomendam que os usuários instalem aplicativos apenas na Play Store, a loja oficial do Google.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova operação de botnet chamada SSHStalker, que utiliza o protocolo de comunicação Internet Relay Chat (IRC) para fins de comando e controle. A operação combina técnicas de exploração de sistemas Linux mais antigos com ferramentas de automação para comprometer em massa servidores vulneráveis, principalmente aqueles que ainda operam com versões do kernel Linux 2.6.x. O SSHStalker se destaca por manter acesso persistente aos sistemas comprometidos sem realizar ações de exploração subsequentes, sugerindo que a infraestrutura comprometida pode ser utilizada para testes ou retenção estratégica de acesso.

Organizações do setor de defesa e alinhadas ao governo indiano têm sido alvo de diversas campanhas de espionagem cibernética, que visam comprometer ambientes Windows e Linux por meio de trojans de acesso remoto. Os ataques utilizam famílias de malware como Geta RAT, Ares RAT e DeskRAT, frequentemente atribuídos a grupos de ameaças alinhados ao Paquistão, como SideCopy e APT36. Essas campanhas se caracterizam pelo uso de e-mails de phishing com anexos maliciosos ou links de download que direcionam as vítimas a infraestruturas controladas pelos atacantes. Uma das cadeias de ataque envolve um arquivo LNK malicioso que executa um arquivo HTA para baixar e instalar o malware. O Geta RAT, por exemplo, permite acesso remoto persistente e coleta de dados sensíveis, enquanto o Ares RAT é uma variante para Linux que também executa comandos para roubar informações. A utilização do DeskRAT, entregue via um complemento PowerPoint malicioso, demonstra a evolução das táticas de espionagem, focando em setores estratégicos como defesa, pesquisa e infraestrutura crítica. Essas atividades ressaltam a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

O grupo de ameaças conhecido como UNC1069, vinculado à Coreia do Norte, tem se concentrado em atacar o setor de criptomoedas, visando roubar dados sensíveis de sistemas Windows e macOS para facilitar o furto financeiro. A intrusão utiliza uma sofisticada engenharia social, que envolve uma conta do Telegram comprometida, reuniões falsas no Zoom, e vetores de infecção como ClickFix. Pesquisadores da Google Mandiant relataram que o grupo tem utilizado ferramentas de inteligência artificial, como o Gemini, para criar materiais de isca e mensagens relacionadas a criptomoedas. Desde 2023, UNC1069 tem mudado seu foco de técnicas de spear-phishing tradicionais para a indústria Web3, atacando exchanges centralizadas, desenvolvedores de software e empresas de capital de risco. A última campanha documentada revelou o uso de até sete famílias únicas de malware, incluindo SILENCELIFT e DEEPBREATH, que são projetados para roubar credenciais e dados de navegadores. O ataque começa com uma abordagem no Telegram, onde o ator se passa por investidores, e leva a vítima a um site falso do Zoom, onde um vídeo enganoso é apresentado. A complexidade e a variedade de ferramentas utilizadas indicam um esforço determinado para coletar dados e facilitar o roubo financeiro.

Um site falso do 7-Zip está distribuindo um instalador trojanizado da popular ferramenta de compactação, transformando computadores de usuários em nós de proxy residencial. Esses proxies são utilizados para contornar bloqueios e realizar atividades maliciosas, como phishing e distribuição de malware. A campanha ganhou notoriedade após um usuário relatar o download do instalador malicioso ao seguir um tutorial no YouTube. O site 7zip[.]com, que imita o legítimo 7-zip.org, ainda está ativo. O instalador, analisado pela Malwarebytes, contém arquivos maliciosos que criam um serviço no Windows para gerenciar o proxy. O malware coleta informações do sistema e se comunica com servidores de comando e controle (C2) utilizando técnicas de ofuscação. Além do 7-Zip, a campanha também utiliza instaladores trojanizados de outros softwares populares. Os pesquisadores alertam os usuários a evitarem links de download de vídeos do YouTube e recomendam que salvem os sites oficiais dos softwares que utilizam frequentemente.

Hackers da Coreia do Norte estão realizando campanhas direcionadas utilizando vídeos gerados por IA e a técnica ClickFix para distribuir malware em sistemas macOS e Windows, visando alvos no setor de criptomoedas. O objetivo financeiro das ações foi evidenciado em um ataque a uma empresa fintech, conforme investigado pela Mandiant, que identificou sete famílias distintas de malware para macOS atribuídas ao grupo UNC1069, ativo desde 2018.

O ataque começou com engenharia social, onde a vítima foi contatada via Telegram por uma conta comprometida de um executivo de uma empresa de criptomoedas. Após estabelecer um relacionamento, os hackers enviaram um link para uma reunião falsa no Zoom, onde apresentaram um vídeo deepfake de um CEO de outra empresa do setor. Durante a ‘reunião’, os hackers induziram a vítima a executar comandos que iniciaram a cadeia de infecção.

Recentemente, trabalhadores de TI associados à Coreia do Norte têm utilizado contas reais do LinkedIn de indivíduos que estão imitando para se candidatar a vagas remotas, representando uma escalada nas fraudes. Esses perfis frequentemente possuem e-mails de trabalho verificados e crachás de identidade, o que torna as aplicações fraudulentas mais convincentes. O objetivo é gerar receita para financiar programas de armamento e realizar espionagem ao roubar dados sensíveis. A empresa de cibersegurança Silent Push descreveu o programa de trabalhadores remotos da Coreia do Norte como uma ‘máquina de receita de alto volume’. Os trabalhadores transferem criptomoedas através de técnicas de lavagem de dinheiro, como a troca de tokens, para ocultar a origem dos fundos. Para se proteger, indivíduos que suspeitam de roubo de identidade devem alertar suas redes sociais e validar contas de candidatos. A Polícia de Segurança da Noruega também emitiu um alerta sobre casos em que empresas norueguesas foram enganadas a contratar esses trabalhadores. Além disso, uma campanha de engenharia social chamada ‘Contagious Interview’ tem sido usada para atrair alvos para entrevistas falsas, levando à execução de código malicioso. O cenário é alarmante, pois a Coreia do Norte continua a desenvolver suas capacidades cibernéticas e a explorar vulnerabilidades em empresas ocidentais.

Um comunicado da Google revelou que mais de 40% dos celulares Android estão vulneráveis a ataques de malwares e spywares devido à recente atualização do sistema operacional, o Android 16. Isso representa mais de um bilhão de dispositivos sem atualizações de segurança críticas. Atualmente, apenas 7,5% dos celulares estão com o Android 16 instalado, enquanto a maioria ainda opera com versões anteriores, como Android 15, 14 e 13, que também não recebem suporte adequado. A fragmentação do sistema Android, causada pela diversidade de fabricantes, contribui para essa situação, já que muitos modelos mais antigos não recebem atualizações de segurança após dois ou três anos de uso. Isso gera uma vulnerabilidade de patch, onde falhas conhecidas são exploradas por hackers. A Google tenta mitigar esse problema com o Project Mainline, que atualiza componentes específicos do Android diretamente pela Play Store, mas essa solução é limitada. Para os usuários de dispositivos que não receberão mais suporte, a recomendação é considerar a troca de aparelho para evitar riscos de segurança, como ataques de ransomware e roubo de dados pessoais.

O Ministério de Minas e Energia do Brasil foi alvo de uma campanha de espionagem global conhecida como Shadow Campaign, que afetou redes governamentais e infraestrutura crítica em 37 países. A pesquisa da Unit 42, da Palo Alto Networks, revelou que os hackers, identificados como TGR-STA-1030/UNC6619, realizaram reconhecimento dos sistemas internos do ministério e roubaram informações sensíveis. Desde janeiro de 2024, os cibercriminosos têm atacado entidades governamentais em 155 países, com foco em ministérios, polícias e setores financeiros. As ações dos hackers coincidiram com eventos significativos, como eleições e crises políticas. No Brasil, o ataque ocorreu após conversas entre o ministério e o governo dos EUA sobre investimentos em mineração. Os hackers utilizaram técnicas de phishing, enviando e-mails maliciosos que continham um loader de malware chamado Diaoyu e um arquivo de imagem que baixava o malware Cobalt Strike. A Palo Alto Networks lançou um guia para ajudar as vítimas a identificar e bloquear ataques. Este incidente destaca a vulnerabilidade das instituições governamentais e a necessidade de medidas de segurança robustas.

O relatório Red Report 2026 da Picus Labs revela uma mudança significativa nas estratégias de ataque cibernético, onde o foco não está mais em ataques destrutivos, como ransomware, mas sim em acessos prolongados e invisíveis. Embora o ransomware continue a ser uma ameaça, a pesquisa indica que a criptografia de dados para causar impacto caiu 38% em um ano, com os atacantes agora preferindo a extorsão de dados como modelo principal de monetização. Isso permite que os sistemas permaneçam operacionais enquanto os atacantes exfiltram informações sensíveis e coletam credenciais. O relatório destaca que a extração de credenciais de armazenamentos de senhas é uma das táticas mais comuns, representando quase 25% dos ataques. Além disso, 80% das técnicas mais utilizadas pelos atacantes priorizam a evasão e a persistência, com malware se comportando como parasitas digitais, operando silenciosamente e evitando detecções. A evolução do malware, que agora é capaz de evitar ambientes de análise, reflete uma lógica mais sofisticada dos atacantes, que se adaptam rapidamente às defesas. Apesar das expectativas em torno da inteligência artificial, os dados mostram que as técnicas tradicionais ainda dominam, com pouca inovação significativa no uso de IA para ataques.

O grupo de cibercriminosos conhecido como Bloody Wolf está vinculado a uma campanha de ataques direcionados a sistemas na Rússia e no Uzbequistão, utilizando um trojan de acesso remoto chamado NetSupport RAT. A empresa de cibersegurança Kaspersky, que monitora a atividade sob o nome de Stan Ghouls, relata que o grupo tem atuado desde pelo menos 2023, realizando ataques de spear-phishing em setores como manufatura, finanças e TI. Estima-se que cerca de 50 vítimas tenham sido registradas no Uzbequistão, além de 10 dispositivos na Rússia e outras infecções em países como Cazaquistão, Turquia, Sérvia e Bielorrússia. Os ataques são realizados através de e-mails de phishing que contêm PDFs maliciosos, levando à instalação do NetSupport RAT e à configuração de scripts para garantir a persistência do malware. Além disso, a Kaspersky identificou que o grupo pode estar ampliando seu arsenal para incluir payloads da botnet Mirai, visando dispositivos IoT. A campanha destaca a capacidade do grupo em realizar ataques sofisticados e bem-orquestrados, levantando preocupações sobre a segurança cibernética na região.

As TVs conectadas à internet, especialmente aquelas com sistema Android, tornaram-se alvos preferidos de hackers devido à sua vulnerabilidade e à falta de medidas de segurança adequadas. Diferente de computadores e smartphones, as TVs geralmente não recebem atualizações de segurança regulares, o que as torna um terreno fértil para ataques cibernéticos. Um exemplo alarmante é a botnet Aisuru, que utilizou TVs Android hackeadas para realizar um dos maiores ataques DDoS da história, com 200 milhões de solicitações maliciosas por segundo.

A OpenClaw, plataforma de inteligência artificial, anunciou uma parceria com o VirusTotal, pertencente ao Google, para aumentar a segurança de seu marketplace, o ClawHub. Todas as habilidades (skills) publicadas na plataforma agora passam por uma verificação utilizando a inteligência de ameaças do VirusTotal, incluindo a nova funcionalidade Code Insight. Cada skill é convertida em um hash SHA-256 e verificada em um banco de dados. Skills com avaliação ‘benigna’ são aprovadas automaticamente, enquanto as suspeitas recebem um alerta e as maliciosas são bloqueadas. A OpenClaw também reavalia diariamente todas as skills ativas para identificar possíveis mudanças de status. Apesar dessas medidas, os mantenedores alertam que a verificação não é infalível, pois algumas habilidades maliciosas podem escapar da detecção. A plataforma também planeja divulgar um modelo de ameaças abrangente e um roteiro de segurança público, após a descoberta de centenas de skills maliciosas que se disfarçam como ferramentas legítimas. A crescente popularidade do OpenClaw levanta preocupações sobre a segurança, especialmente em ambientes corporativos, onde a falta de controle de TI pode facilitar o acesso não autorizado a dados sensíveis.

O DKnife é um novo toolkit de cibersegurança, descoberto por pesquisadores da Cisco Talos, que tem sido utilizado desde 2019 para sequestrar tráfego em dispositivos de borda e entregar malware em campanhas de espionagem. Este framework atua como uma plataforma pós-compromisso para monitoramento de tráfego e atividades de adversário no meio (AitM), interceptando e manipulando dados destinados a dispositivos finais, como computadores, dispositivos móveis e IoTs.

Composto por sete módulos baseados em Linux, o DKnife é projetado para inspeção profunda de pacotes (DPI), manipulação de tráfego e coleta de credenciais. Os pesquisadores identificaram que o malware possui artefatos em chinês simplificado e visa especificamente serviços chineses, como provedores de e-mail e aplicativos móveis. Embora não tenham conseguido determinar como os equipamentos de rede são comprometidos, o DKnife interage com backdoors conhecidos, como ShadowPad e DarkNimbus, ambos associados a atores de ameaças da China.

Um novo tipo de ataque de spear-phishing está utilizando arquivos de proteção de tela do Windows (.scr) para contornar sistemas de segurança e infectar instituições. De acordo com uma pesquisa da ReliaQuest, os cibercriminosos estão enganando usuários ao enviar arquivos maliciosos disfarçados de documentos corporativos, como recibos ou resumos de projetos. Quando a vítima baixa e executa o arquivo .scr, que é um executável, as ferramentas de segurança geralmente não detectam a ameaça, pois essa extensão é menos monitorada em comparação com arquivos mais comuns, como .exe.

O Brasil enfrenta uma nova ameaça cibernética com o surgimento do ransomware Vect, que começou a operar em janeiro de 2026. Este malware, desenvolvido em C++ e sem reaproveitamento de códigos antigos, é parte do modelo Ransomware-as-a-Service (RaaS), permitindo que hackers aluguem suas capacidades por R$ 1.300 em criptomoeda Monero. O Vect se destaca por sua sofisticação técnica, utilizando o algoritmo de encriptação AEAD ChaCha20-Poly1305, que é significativamente mais rápido que o AES-256-GCM. Ele é capaz de afetar sistemas operacionais como Windows e Linux, além de ambientes de virtualização VMware ESXi.

Um novo grupo de ciberespionagem, identificado como TGR-STA-1030, comprometeu redes de pelo menos 70 organizações governamentais e de infraestrutura crítica em 37 países ao longo do último ano, conforme relatado pela Palo Alto Networks. O grupo, que parece operar a partir da Ásia, tem se concentrado em entidades como ministérios de finanças e agências de controle de fronteiras. Entre novembro e dezembro de 2025, foram realizadas atividades de reconhecimento ativo contra infraestruturas governamentais em 155 países.

Pesquisadores de cibersegurança revelaram a existência do DKnife, um framework de monitoramento de gateways e ataque do tipo adversário no meio (AitM), operado por atores de ameaça com vínculos à China desde 2019. O DKnife é composto por sete implantes baseados em Linux, projetados para realizar inspeção profunda de pacotes, manipular tráfego e entregar malware através de roteadores e dispositivos de borda. Os principais alvos são usuários de língua chinesa, evidenciado pela presença de páginas de phishing para serviços de e-mail chineses e módulos de exfiltração para aplicativos populares como o WeChat. O framework é capaz de interceptar downloads e atualizações de aplicativos Android, além de monitorar atividades de usuários em tempo real. A Cisco Talos, que identificou o DKnife, destaca que a infraestrutura do framework está conectada a outras atividades de ameaças, como o grupo Earth Minotaur. A descoberta do DKnife ressalta as capacidades avançadas das ameaças AitM modernas, que combinam inspeção profunda de pacotes, manipulação de tráfego e entrega personalizada de malware em uma ampla gama de dispositivos.

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos que comprometeu pacotes legítimos nos repositórios npm e Python Package Index (PyPI). As versões comprometidas dos pacotes @dydxprotocol/v4-client-js (npm) e dydx-v4-client (PyPI) foram utilizadas para roubo de credenciais de carteiras e execução remota de código. Os atacantes, que aparentemente obtiveram acesso às credenciais de publicação legítimas, introduziram códigos maliciosos que visam operações sensíveis de criptomoedas. O pacote npm contém um ladrão de carteiras que coleta frases-semente e informações do dispositivo, enquanto a versão do PyPI inclui um trojan de acesso remoto (RAT) que se conecta a um servidor externo para executar comandos. O incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante. Após a divulgação responsável do ataque, a dYdX alertou os usuários para isolarem máquinas afetadas e moverem fundos para novas carteiras. Este não é o primeiro ataque à dYdX, que já enfrentou incidentes semelhantes no passado, evidenciando um padrão persistente de ameaças direcionadas a ativos relacionados à plataforma.

Pesquisadores da Sophos identificaram uma nova tática utilizada por operadores de ransomware, que consiste em abusar de máquinas virtuais (VMs) fornecidas pela ISPsystem, uma empresa legítima de gerenciamento de infraestrutura virtual. Durante a investigação de incidentes recentes relacionados ao ransomware ‘WantToCry’, foi observado que os atacantes utilizavam VMs Windows com nomes de host idênticos, indicando o uso de templates padrão do VMmanager da ISPsystem. Essa prática foi encontrada em várias infraestruturas de grupos de ransomware conhecidos, como LockBit e Conti. A ISPsystem, que oferece uma plataforma de gerenciamento de virtualização, não parece estar ciente do uso indevido de seus templates, que reutilizam nomes de host e identificadores de sistema, facilitando a operação de cibercriminosos. A maioria das VMs maliciosas foi hospedada por provedores com má reputação, o que complica a atribuição de responsabilidades e torna a remoção rápida dessas infraestruturas improvável. A Sophos destaca que quatro nomes de host da ISPsystem representam mais de 95% das VMs expostas à internet associadas a atividades cibercriminosas.

Pesquisadores da ANY.RUN identificaram um aumento significativo em campanhas de phishing que utilizam plataformas de nuvem legítimas, como Google, Microsoft e Cloudflare, visando o ambiente corporativo. Essas campanhas se aproveitam de vulnerabilidades de segurança para distribuir kits de phishing, contornando sistemas de segurança corporativos e comprometendo contas de funcionários para fraudes financeiras e disseminação de malware. A nova abordagem dos criminosos envolve o uso de URLs de provedores reais e uma entrega padrão em HTML, dificultando a detecção por ferramentas de segurança, que consideram as ações como legítimas. Além disso, os ataques frequentemente utilizam páginas de login falsas, especialmente direcionadas a usuários do Microsoft 365, para coletar dados sensíveis. O problema se agrava, pois a malícia só se revela quando os softwares comprometidos são executados, levando a infecções que podem passar despercebidas até que seja tarde demais. Essa evolução nas táticas de phishing representa um desafio crescente para a segurança cibernética das empresas, exigindo atenção redobrada dos profissionais da área.

A Microsoft identificou um aumento alarmante de ataques de infostealers direcionados ao sistema operacional macOS, uma prática que antes se concentrava principalmente em usuários do Windows. Desde o final de 2025, hackers têm utilizado uma combinação de engenharia social, correções falsas e arquivos DMG maliciosos para disseminar malware. O infostealer, que opera em conjunto com ferramentas como DigitStealer, MacSync e Atomic Stealer, é capaz de contornar as barreiras de segurança do macOS e roubar informações sensíveis, como senhas e dados bancários. Os ataques são frequentemente facilitados por meio de sites falsos promovidos em anúncios do Google e e-mails de phishing que induzem as vítimas a instalar o software malicioso. Além disso, a linguagem de programação Python tem sido utilizada para desenvolver esses malwares, aumentando a eficácia dos ataques. A situação é preocupante, pois os criminosos não apenas coletam dados, mas também apagam rastros digitais, dificultando a detecção de suas atividades. Essa nova onda de ataques representa um risco significativo para usuários de macOS, que historicamente se consideravam menos vulneráveis a esse tipo de ameaça.

O grupo de ameaças iraniano conhecido como Infy, também chamado de Príncipe da Pérsia, tem aprimorado suas táticas para ocultar suas atividades maliciosas. Após um apagão de internet imposto pelo governo iraniano em janeiro de 2026, o grupo interrompeu a manutenção de seus servidores de comando e controle (C2) pela primeira vez em anos. No entanto, a atividade foi retomada em 26 de janeiro, com a configuração de novos servidores C2, indicando que o grupo está se adaptando rapidamente às mudanças no ambiente digital. O Infy, ativo desde 2004, é um dos grupos patrocinados pelo estado iraniano que realiza operações de espionagem e sabotagem. Recentemente, foram identificadas novas versões de suas ferramentas de ataque, como Foudre e Tonnerre, que agora utilizam um bot do Telegram para comunicação. A análise revelou que o grupo também explorou uma vulnerabilidade no WinRAR para implantar seu malware. O uso de técnicas como a geração de nomes de domínio por meio de algoritmos DGA e a desofuscação de dados em blockchain demonstra a sofisticação das operações do Infy, que continua a ser uma ameaça significativa no cenário de cibersegurança.

Nesta semana, diversos pequenos sinais indicam mudanças nas táticas de ataque cibernético. Pesquisadores observaram intrusões que começam em locais comuns, como fluxos de trabalho de desenvolvedores e ferramentas remotas, tornando a entrada menos visível e o impacto mais escalável. O grupo APT36, alinhado ao Paquistão, expandiu suas operações para o ecossistema de startups da Índia, utilizando e-mails de spear-phishing com arquivos ISO maliciosos para implantar o Crimson RAT, permitindo vigilância e exfiltração de dados. Além disso, o grupo ShadowSyndicate tem utilizado uma infraestrutura compartilhada para realizar uma variedade de atividades maliciosas, enquanto a CISA identificou 59 CVEs exploradas em ataques de ransomware, incluindo vulnerabilidades da Microsoft e Fortinet. Por outro lado, a operação Rublevka Team tem se destacado na drenagem de criptomoedas, gerando mais de $10 milhões através de campanhas de engenharia social. Essas tendências mostram como os ataques estão se tornando mais sofisticados e organizados, exigindo atenção redobrada das empresas.

Pesquisadores do DataDog Security Labs descobriram uma campanha de ciberataques que compromete servidores NGINX, redirecionando o tráfego de usuários por meio da infraestrutura do atacante. O NGINX, um software de gerenciamento de tráfego web amplamente utilizado, é alvo de modificações em seus arquivos de configuração, onde blocos maliciosos são injetados. Esses blocos capturam requisições em URLs selecionadas e as redirecionam para domínios controlados pelos atacantes, utilizando a diretiva ‘proxy_pass’, que normalmente é usada para balanceamento de carga e, portanto, não aciona alertas de segurança.

Pesquisadores de segurança cibernética revelaram detalhes sobre uma nova campanha de malware chamada DEAD#VAX, que utiliza uma combinação de técnicas sofisticadas para contornar mecanismos tradicionais de detecção. O ataque utiliza arquivos de disco virtual (VHD) hospedados na rede descentralizada InterPlanetary Filesystem (IPFS), disfarçados como arquivos PDF, para enganar as vítimas. O malware AsyncRAT, um trojan de acesso remoto, é injetado diretamente em processos confiáveis do Windows, operando totalmente na memória e evitando a criação de artefatos forenses no disco. A campanha é iniciada por meio de um e-mail de phishing que entrega o arquivo VHD. Uma vez montado, um script WSF é executado, que verifica as condições do ambiente antes de liberar o AsyncRAT. Essa abordagem de execução em memória e o uso de scripts ofuscados dificultam a detecção e a resposta a incidentes, tornando a campanha altamente eficaz. Os pesquisadores alertam que a evolução das campanhas de malware, que agora dependem de formatos de arquivo confiáveis e execução residente na memória, representa um desafio significativo para a segurança cibernética.

Uma vulnerabilidade crítica no Microsoft Office, identificada como CVE-2026-21509, está sendo ativamente explorada por hackers, especialmente um grupo conhecido como APT28. Apesar de a Microsoft ter lançado um patch para corrigir a falha, a exploração da vulnerabilidade foi detectada apenas três dias após a atualização. A Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT) relatou que documentos maliciosos estão sendo distribuídos, com alvos principais em organizações governamentais ucranianas e instituições na União Europeia. O ataque envolve a abertura de arquivos DOC corrompidos que desencadeiam downloads de malware, utilizando técnicas como sequestro de COM e shellcode oculto. Especialistas recomendam que as organizações atualizem imediatamente seus sistemas Microsoft Office e outros aplicativos do Microsoft 365 para evitar compromissos de segurança. A situação é alarmante, pois a falha pode ter repercussões mais amplas do que inicialmente previsto, afetando a segurança de dados em várias regiões.

A Microsoft emitiu um alerta sobre a crescente ameaça de malware infostealer que agora se expande além das campanhas tradicionais focadas em Windows, atingindo também dispositivos macOS. Segundo um relatório da empresa, os cibercriminosos estão utilizando técnicas de engenharia social e anúncios maliciosos para distribuir instaladores DMG que contêm variantes como DigitStealer, MacSync e AMOS (Atomic macOS Stealer). Esses malwares visam roubar dados sensíveis, incluindo sessões de navegador, credenciais de desenvolvedor e tokens de nuvem, facilitando ataques como sequestro de contas e ransomware.

Pesquisadores da Huntress identificaram um novo ataque cibernético que utiliza um driver de kernel legítimo, mas revogado, do EnCase para criar uma ferramenta maliciosa conhecida como EDR killer. Essa ferramenta é projetada para desativar soluções de detecção e resposta em endpoints (EDR) e outros softwares de segurança, utilizando a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD). O ataque começou com a violação de uma rede através de credenciais comprometidas do SonicWall SSL VPN, explorando a falta de autenticação multifatorial (MFA). Após a invasão, os atacantes realizaram uma varredura interna agressiva e implantaram um executável de 64 bits que abusava do driver ‘EnPortv.sys’, que possui um certificado expirado e revogado, mas ainda é aceito pelo Windows devido a falhas na verificação de certificados. A ferramenta maliciosa consegue desativar 59 processos relacionados a EDR e antivírus, estabelecendo uma persistência resistente a reinicializações. Apesar de a atividade estar relacionada a um possível ataque de ransomware, a ação foi interrompida antes da entrega do payload final. Recomendações de defesa incluem a habilitação de MFA em serviços de acesso remoto e monitoramento de logs do VPN para atividades suspeitas.

Em 2025, um novo conjunto de campanhas de espionagem cibernética, atribuído a atores de ameaças ligados à China, foi identificado, visando agências governamentais e de segurança na região do Sudeste Asiático. O grupo, denominado Amaranth-Dragon, está associado ao ecossistema APT 41 e tem como alvos países como Camboja, Tailândia, Laos, Indonésia, Cingapura e Filipinas. As campanhas foram estrategicamente sincronizadas com eventos políticos e de segurança locais, aumentando a probabilidade de que as vítimas interagissem com o conteúdo malicioso. Os ataques, que demonstram um alto grau de furtividade, exploraram uma vulnerabilidade específica (CVE-2025-8088) no WinRAR, permitindo a execução de código arbitrário. Os invasores utilizaram arquivos RAR maliciosos distribuídos via e-mails de spear-phishing, hospedados em plataformas de nuvem conhecidas para evitar detecções. O Amaranth Loader, um componente central dos ataques, foi projetado para estabelecer uma comunicação com servidores externos e executar cargas úteis de forma discreta. A infraestrutura de comando e controle (C2) é protegida e configurada para aceitar tráfego apenas de IPs dos países-alvo, evidenciando a sofisticação dos atacantes. Este cenário destaca a necessidade de vigilância contínua e de ações proativas por parte das organizações na região.

A Microsoft alertou que ataques de roubo de informações estão se expandindo rapidamente para ambientes macOS, utilizando linguagens de programação multiplataforma como Python e explorando plataformas confiáveis para distribuição em larga escala. Desde o final de 2025, campanhas de infostealers direcionadas ao macOS têm utilizado técnicas de engenharia social, como o ClickFix, para distribuir instaladores maliciosos que implantam famílias de malware como Atomic macOS Stealer (AMOS) e DigitStealer. Esses ataques frequentemente começam com anúncios maliciosos, muitas vezes veiculados pelo Google Ads, que redirecionam usuários em busca de ferramentas populares para sites falsos, levando-os a infectar suas próprias máquinas. Os atacantes têm utilizado execução sem arquivos e automação via AppleScript para facilitar o roubo de dados, incluindo credenciais de navegadores e informações financeiras. A Microsoft identificou campanhas específicas, como a do PXA Stealer, que coleta dados sensíveis através de e-mails de phishing. Para mitigar esses riscos, as organizações devem educar seus usuários sobre ataques de engenharia social e monitorar atividades suspeitas.

Pesquisadores da ESET identificaram uma nova campanha de spyware no Android, que se disfarça como um aplicativo de relacionamento chamado GhostChat. Este malware, que não está disponível na Google Play Store, é distribuído clandestinamente e se apresenta como uma plataforma de chat de relacionamento sem custos. O golpe utiliza perfis falsos de mulheres, que ficam ‘bloqueados’ até que a vítima forneça um código, gerando uma sensação de exclusividade. Durante a interação, o GhostChat opera em segundo plano, roubando documentos, fotos, contatos e informações do dispositivo da vítima. Além disso, o malware utiliza uma técnica chamada ClickFix, que simula falhas para enganar o usuário a interagir e permitir acesso a mais dados. Os pesquisadores alertam que o ataque é sofisticado e utiliza engenharia social, QR Codes e spoofing de autoridades para aumentar sua eficácia. A campanha tem como alvo principal usuários no Paquistão, mas a técnica pode ser replicada em outros contextos, incluindo o Brasil, onde aplicativos de relacionamento são populares.

O grupo de ameaças APT28, vinculado ao governo russo, está explorando uma nova vulnerabilidade no Microsoft Office, identificada como CVE-2026-21509, com um escore CVSS de 7.8. Essa falha permite que atacantes não autorizados enviem arquivos maliciosos que podem comprometer sistemas. A campanha, chamada Operation Neusploit, foi observada em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, logo após a divulgação pública da vulnerabilidade pela Microsoft. Os pesquisadores da Zscaler relataram que os atacantes utilizaram técnicas de engenharia social em múltiplas línguas para enganar as vítimas. A exploração envolve o uso de arquivos RTF maliciosos que instalam dois tipos de droppers: MiniDoor, que rouba e-mails, e PixyNetLoader, que ativa um implante chamado Grunt, associado ao framework de comando e controle COVENANT. A CERT-UA, equipe de resposta a emergências da Ucrânia, confirmou que documentos do Word foram utilizados para atacar mais de 60 endereços de e-mail de autoridades governamentais. A vulnerabilidade representa um risco significativo, especialmente para organizações que utilizam o Microsoft Office em suas operações diárias.

O Notepad++, popular editor de texto e código, enfrentou uma grave falha de segurança que permitiu a hackers redirecionar atualizações do aplicativo para distribuir malware a usuários. Segundo Don Ho, um dos desenvolvedores, a vulnerabilidade não estava no código do Notepad++, mas sim na infraestrutura do provedor de serviços que hospeda as atualizações. O ataque, que começou em junho de 2025, foi descoberto apenas em setembro do mesmo ano, e envolveu hackers chineses que conseguiram interceptar o tráfego do atualizador WinGUp, redirecionando-o para domínios maliciosos. Apesar de o aplicativo verificar a autenticidade dos arquivos baixados, os cibercriminosos conseguiram enganar essa verificação, resultando em downloads de arquivos binários não oficiais. A falha foi corrigida na versão 8.8.9 do Notepad++, lançada em agosto de 2025, mas os hackers mantiveram acesso até dezembro do mesmo ano. Este incidente destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante em relação a possíveis vulnerabilidades em provedores de serviços.

Recentemente, mais de 230 pacotes maliciosos foram publicados no registro oficial do assistente de IA OpenClaw, anteriormente conhecido como Moltbot e ClawdBot. Esses pacotes, chamados de ‘skills’, se disfarçam como ferramentas legítimas, mas têm como objetivo injetar malware que rouba dados sensíveis, como chaves de API, credenciais de SSH e senhas de navegadores. O projeto, que é um assistente de IA de código aberto projetado para rodar localmente, apresenta riscos de segurança se não for configurado corretamente. Pesquisadores de segurança alertaram que muitas interfaces administrativas do OpenClaw estão mal configuradas e expostas na web pública. A infecção ocorre quando os usuários seguem instruções enganosas contidas na documentação dos pacotes, que incluem um mecanismo de entrega de malware disfarçado de uma ferramenta chamada ‘AuthTool’. O malware, identificado como uma variante do NovaStealer, é capaz de contornar proteções do sistema e roubar informações críticas. A situação é agravada por uma campanha em larga escala que visa usuários do OpenClaw, com a necessidade urgente de os usuários verificarem a segurança dos pacotes antes da instalação.

O Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou que hackers russos estão explorando a vulnerabilidade CVE-2026-21509, recentemente corrigida pela Microsoft, em várias versões do Microsoft Office. Em 26 de janeiro, a Microsoft lançou uma atualização de segurança de emergência, identificando a falha como um zero-day ativamente explorado. Apenas três dias após o alerta, o CERT-UA detectou a distribuição de arquivos DOC maliciosos relacionados a consultas do COREPER da UE, além de e-mails falsificados que se passavam pelo Centro Hidrometeorológico da Ucrânia, enviados a mais de 60 endereços governamentais. A análise da metadata dos documentos revelou que foram criados um dia após a atualização de segurança. O CERT-UA atribuiu esses ataques ao grupo APT28, associado à inteligência militar russa (GRU). A abertura do documento malicioso inicia uma cadeia de download que instala malware via COM hijacking, utilizando um arquivo DLL malicioso e shellcode oculto em uma imagem. O malware COVENANT, utilizado nos ataques, se conecta ao serviço de armazenamento em nuvem Filen para operações de comando e controle. As organizações são aconselhadas a aplicar a atualização de segurança mais recente e a monitorar conexões associadas ao Filen para melhorar a defesa contra essa ameaça.

Um novo ataque de malware chamado GlassWorm, que utiliza extensões comprometidas do OpenVSX, está focado em roubar senhas, dados de carteiras de criptomoedas e credenciais de desenvolvedores em sistemas macOS. O ataque começou em outubro de 2023, quando um desenvolvedor legítimo teve sua conta acessada e atualizações maliciosas foram enviadas para quatro extensões, que já haviam sido baixadas 22.000 vezes. O malware se esconde usando caracteres Unicode invisíveis e permite acesso remoto via VNC e proxy SOCKS. A campanha, que afeta exclusivamente sistemas macOS, coleta dados de navegadores, aplicativos de carteira e informações do sistema, enviando tudo para a infraestrutura do atacante. A equipe de segurança da Socket notificou a Fundação Eclipse sobre as publicações não autorizadas, que foram removidas, exceto uma extensão que foi completamente eliminada. Embora as versões atuais das extensões estejam limpas, desenvolvedores que baixaram as versões maliciosas devem realizar uma limpeza completa do sistema e trocar todas as suas senhas.

Uma auditoria de segurança realizada pela Koi Security identificou 341 habilidades maliciosas em um total de 2.857 no ClawHub, um marketplace para usuários do assistente de inteligência artificial OpenClaw. A análise, que contou com a ajuda de um bot do OpenClaw, revelou que 335 dessas habilidades utilizam pré-requisitos falsos para instalar um malware chamado Atomic Stealer (AMOS), que rouba dados sensíveis de sistemas macOS e Windows. Os usuários são induzidos a baixar arquivos ou scripts que, uma vez executados, permitem que os atacantes capturem chaves de API, credenciais e outras informações confidenciais. As habilidades maliciosas se disfarçam como ferramentas de criptomoeda, utilitários do YouTube e atualizadores automáticos, entre outros. A Koi Security também observou que as habilidades compartilham a mesma infraestrutura de comando e controle, o que indica uma campanha coordenada. Em resposta, o criador do OpenClaw implementou uma nova funcionalidade de denúncia para que os usuários possam sinalizar habilidades suspeitas. Este incidente destaca os riscos associados a ecossistemas de código aberto, que continuam a ser explorados por atores maliciosos, especialmente em um contexto onde a popularidade do OpenClaw está crescendo rapidamente.

Um grupo de hackers vinculado à China, conhecido como Lotus Blossom, foi associado com confiança média ao recente comprometimento da infraestrutura que hospeda o Notepad++. A invasão permitiu que o grupo, patrocinado pelo estado, entregasse um backdoor inédito, codinome Chrysalis, aos usuários do editor de código aberto. Segundo a Rapid7, a falha ocorreu devido a um comprometimento no nível do provedor de hospedagem, que permitiu que os atacantes sequestrassem o tráfego de atualização a partir de junho de 2025, redirecionando solicitações de certos usuários para servidores maliciosos. A vulnerabilidade foi corrigida em dezembro de 2025 com o lançamento da versão 8.8.9 do Notepad++. A análise da Rapid7 não encontrou evidências de que o mecanismo de atualização foi explorado para distribuir malware, mas um processo suspeito foi identificado, que baixou um instalador malicioso. O Chrysalis é um implante sofisticado que coleta informações do sistema e se comunica com um servidor externo para receber comandos adicionais. O grupo Lotus Blossom demonstrou uma evolução em suas técnicas, utilizando ferramentas personalizadas e frameworks conhecidos como Metasploit e Cobalt Strike, o que indica uma adaptação contínua para evitar detecções.

Um novo alerta de cibersegurança destaca os riscos associados ao uso de softwares piratas e add-ons para jogos, especialmente entre crianças e adolescentes. O jogo Roblox, popular entre esse público, se tornou um alvo atrativo para ataques de malware, como infostealers. Esses malwares são frequentemente disseminados por meio de mods que prometem melhorar o desempenho do jogo, mas que, na verdade, podem roubar informações sensíveis do computador do usuário. Pesquisas indicam que mais de 40% das invasões cibernéticas são realizadas através de arquivos relacionados a jogos, sendo que muitos jovens desabilitam antivírus para instalar esses mods. O artigo enfatiza a importância da educação digital, alertando pais e responsáveis sobre os perigos de confiar em aplicativos de terceiros e a necessidade de manter medidas de segurança, como antivírus ativos. O uso de plataformas legítimas, como NexusMod, também pode apresentar riscos, pois mods não confiáveis podem ser facilmente ignorados pelos usuários. A coleta de dados pessoais, como senhas e credenciais, pode levar a golpes de engenharia social e ameaças financeiras significativas.

Pesquisadores da MacKeeper identificaram uma nova campanha de cibercriminosos que visa usuários de Mac, utilizando anúncios maliciosos no Google. Quando os usuários buscam por ’limpeza de Mac’, eles podem ser direcionados a uma página falsa que imita o site de suporte da Apple. Ao clicar no link, a vítima é induzida a executar um comando malicioso no Terminal do macOS, ofuscado em Base64. Esse comando instala um script remoto que permite o controle total do sistema pelos hackers. Em vez de realizar uma limpeza, o malware rouba dados sensíveis, extrai chaves SSH e até minera criptomoedas. Os anúncios maliciosos são veiculados por contas verificadas do Google, que parecem ter sido comprometidas. Essa situação representa um risco significativo para a segurança dos usuários de macOS, especialmente considerando a popularidade dos dispositivos Apple no Brasil.

A infraestrutura de atualização do eScan, um antivírus da MicroWorld Technologies, foi comprometida por atacantes desconhecidos, resultando na distribuição de malware em sistemas empresariais e de consumidores em todo o mundo. O ataque ocorreu em 20 de janeiro de 2026, quando uma atualização maliciosa foi enviada a clientes durante um intervalo de duas horas. A empresa isolou os servidores afetados e lançou um patch para reverter as alterações. O malware, identificado como ‘Reload.exe’, interfere na funcionalidade do eScan, impedindo a detecção de componentes maliciosos e bloqueando atualizações remotas. O arquivo malicioso modifica o arquivo HOSTS e utiliza técnicas para contornar a interface de varredura do Windows, permitindo a execução de scripts PowerShell que podem instalar mais malware. A análise da Kaspersky revelou que centenas de máquinas, principalmente na Índia e em países vizinhos, foram afetadas. Este incidente destaca a vulnerabilidade das soluções de segurança e a necessidade de vigilância constante em relação a ataques à cadeia de suprimentos.

O desenvolvedor do Notepad++, Don Ho, revelou que um ataque patrocinado por um Estado comprometeu o mecanismo de atualização do software, redirecionando o tráfego de atualizações para servidores maliciosos. A falha ocorreu em nível de infraestrutura, no provedor de hospedagem, e não por vulnerabilidades no código do Notepad++. O problema foi identificado após a versão 8.8.9 do software, que já havia corrigido um redirecionamento ocasional de tráfego para domínios maliciosos, resultando no download de executáveis comprometidos. Acredita-se que o ataque tenha sido altamente direcionado, afetando apenas usuários específicos, e começou em junho de 2025, antes de ser descoberto em janeiro de 2026. Pesquisadores de segurança independentes identificaram que atores de ameaças na China estavam explorando essa falha para enganar alvos e instalar malware. Em resposta, o site do Notepad++ foi migrado para um novo provedor de hospedagem, após o antigo ter sido comprometido até setembro de 2025, com credenciais mantidas até dezembro do mesmo ano.

Pesquisadores de cibersegurança relataram um ataque à cadeia de suprimentos que afetou o Open VSX Registry, onde atores maliciosos não identificados comprometeram recursos de um desenvolvedor legítimo para distribuir atualizações maliciosas. Em 30 de janeiro de 2026, quatro extensões do Open VSX, publicadas pelo autor oorzc, foram substituídas por versões maliciosas que incorporavam o carregador de malware GlassWorm. Essas extensões, que antes eram consideradas utilitários legítimos e acumulavam mais de 22.000 downloads, agora estão associadas a um malware que visa roubar credenciais do macOS e dados de carteiras de criptomoedas. O ataque envolveu a violação das credenciais de publicação do desenvolvedor, possivelmente através de um token vazado ou acesso não autorizado. As versões maliciosas foram removidas do Open VSX, mas o impacto potencial é significativo, especialmente para ambientes corporativos, pois expõe informações sensíveis de desenvolvedores e pode permitir movimentos laterais em redes corporativas. O malware utiliza técnicas sofisticadas para evitar detecção e é ativado apenas em máquinas que não estão localizadas na Rússia, uma estratégia observada em ataques anteriores relacionados a grupos de ameaças de língua russa.

Um novo ataque cibernético, denominado RedKitten, foi identificado como uma campanha de ciberespionagem atribuída a um ator de ameaça que fala farsi e está alinhado aos interesses do estado iraniano. O ataque visa organizações não governamentais e indivíduos que documentam abusos de direitos humanos no Irã, especialmente em meio a protestos contra a inflação e a desvalorização da moeda. O malware utilizado neste ataque se aproveita de arquivos do Microsoft Excel com macros maliciosas, que, ao serem ativadas, instalam um backdoor chamado SloppyMIO. Este backdoor utiliza GitHub e Google Drive para obter suas configurações e módulos, além de se comunicar via Telegram. A análise sugere que o código VBA malicioso pode ter sido gerado por modelos de linguagem de inteligência artificial, o que representa uma nova tendência nas táticas de ataque. A campanha também explora a vulnerabilidade emocional das vítimas, que buscam informações sobre pessoas desaparecidas, utilizando dados falsificados para enganar os alvos. Este incidente destaca a crescente complexidade das ameaças cibernéticas, especialmente com a utilização de ferramentas de IA, dificultando a identificação de atores maliciosos.

Em 29 de dezembro de 2025, o CERT Polska, equipe de resposta a emergências cibernéticas da Polônia, revelou que mais de 30 usinas de energia renovável, uma empresa do setor de manufatura e uma grande planta de cogeração foram alvo de ataques cibernéticos coordenados. Os ataques foram atribuídos a um grupo de ameaças conhecido como Static Tundra, supostamente vinculado ao Serviço Federal de Segurança da Rússia (FSB). Embora as usinas de energia tenham enfrentado interrupções na comunicação com os operadores de distribuição, a produção de eletricidade não foi afetada. Os atacantes conseguiram acessar redes internas, danificando firmware e lançando malware destrutivo, como o DynoWiper. No caso da planta de cogeração, houve tentativas de roubo de dados desde março de 2025, mas os ataques não conseguiram interromper o fornecimento de calor. A vulnerabilidade de dispositivos Fortinet foi um vetor de entrada para os atacantes, que utilizaram credenciais comprometidas para acessar serviços em nuvem. O CERT Polska destacou que o uso de múltiplas contas sem autenticação de dois fatores facilitou a intrusão.

Recentemente, hackers utilizaram a plataforma Hugging Face para distribuir malware direcionado a dispositivos Android, disfarçado como um aplicativo antivírus chamado TrustBastion. Este aplicativo, ao ser instalado, informa ao usuário que seu dispositivo está infectado e solicita uma atualização, momento em que o código malicioso é efetivamente instalado. O TrustBastion conecta-se a um servidor de terceiros que redireciona para um repositório na Hugging Face, onde o APK malicioso é hospedado. O malware é capaz de capturar capturas de tela, exibir interfaces falsas de login para serviços de pagamento e roubar códigos de bloqueio, enviando todas as informações coletadas para servidores controlados pelos atacantes. Apesar da rápida identificação e remoção do aplicativo, novos repositórios surgiram, indicando a persistência da ameaça. Especialistas recomendam que os usuários baixem aplicativos apenas de fontes confiáveis, como a Google Play Store, e que verifiquem as avaliações e o número de downloads antes de instalar qualquer aplicativo.

Pesquisadores de cibersegurança da Cisco Talos identificaram uma nova campanha de ciberespionagem atribuída ao ator de ameaças UAT-8099, vinculado à China, que ocorreu entre o final de 2025 e o início de 2026. A campanha tem como alvo servidores vulneráveis do Internet Information Services (IIS) na Ásia, com foco específico em Tailândia e Vietnã. O grupo utiliza shells web e PowerShell para executar scripts e implantar a ferramenta GotoHTTP, permitindo acesso remoto aos servidores comprometidos.

Uma nova campanha de malware para Android está utilizando a plataforma Hugging Face como repositório para milhares de variações de um payload APK que coleta credenciais de serviços financeiros e de pagamento populares. A campanha, descoberta pela empresa romena de cibersegurança Bitdefender, começa com a instalação de um aplicativo dropper chamado TrustBastion, que engana os usuários com anúncios alarmantes, alegando que seus dispositivos estão infectados. O aplicativo malicioso se disfarça como uma ferramenta de segurança, prometendo detectar ameaças como fraudes e malware.