Malware

Em maio de 2025, analistas da Unit 42 identificaram várias campanhas de ataque utilizando o AdaptixC2, um framework de código aberto originalmente desenvolvido para equipes vermelhas, mas agora explorado por atores maliciosos. Com uma arquitetura modular e baseada em plugins, o AdaptixC2 se destacou por sua capacidade de manipulação abrangente de sistemas, incluindo navegação em sistemas de arquivos e execução de programas arbitrários. Os ataques foram realizados através de vetores de infecção distintos, como campanhas de phishing que se faziam passar por suporte técnico via Microsoft Teams, e um instalador PowerShell gerado por IA que injetava código malicioso na memória. O framework permite movimentação lateral discreta em redes segmentadas e utiliza técnicas avançadas para evitar detecções. A Unit 42 observou um aumento no número de servidores de comando e controle (C2) do AdaptixC2, ligando-o a operações de ransomware, o que destaca sua flexibilidade em cadeias de ataque mais amplas. Para mitigar esses riscos, recomenda-se que as defesas monitorem logs do PowerShell e implementem soluções de detecção de ameaças em rede e endpoints.

O grupo de hackers TA415, associado ao governo chinês, intensificou suas operações de ciberespionagem entre julho e agosto de 2025, visando entidades governamentais dos EUA, think tanks e organizações acadêmicas focadas nas relações econômicas entre EUA e China. Utilizando técnicas avançadas de phishing, os atacantes enviaram e-mails disfarçados como comunicações de autoridades americanas, visando especialistas em comércio internacional e políticas econômicas. A abordagem do TA415 inclui o uso de serviços de nuvem legítimos, como Google Sheets e Google Calendar, para comunicações de comando e controle, o que dificulta a detecção por sistemas de segurança tradicionais. A cadeia de infecção começa com arquivos compactados protegidos por senha, que, ao serem executados, instalam um loader Python chamado WhirlCoil. Este malware coleta informações do sistema e as exfiltra para serviços de registro de requisições. A operação do TA415 é considerada uma ameaça significativa, especialmente em um contexto de negociações econômicas entre os EUA e a China, destacando a evolução das táticas de atores patrocinados pelo estado, que agora utilizam infraestrutura de nuvem legítima para manter acesso persistente e evitar detecções.

Uma nova variante do malware BeaverTail, associada a operadores estatais da Coreia do Norte, está sendo utilizada para atacar o setor de varejo e criptomoedas. Desde maio de 2025, os atacantes têm refinado sua infraestrutura de distribuição de malware, utilizando executáveis compilados e iscas de engenharia social através de uma plataforma de contratação falsa. Essa abordagem visa expandir o número de vítimas potenciais, focando em funções de marketing e vendas, ao invés de apenas desenvolvedores de software.

Um grupo de ciberespionagem alinhado à China, conhecido como TA415, foi identificado como responsável por campanhas de spear-phishing que visam o governo dos EUA, think tanks e organizações acadêmicas. Utilizando iscas relacionadas à economia entre EUA e China, o grupo se disfarçou como o presidente do Comitê de Seleção sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês, além do Conselho Empresarial EUA-China. As atividades ocorreram entre julho e agosto de 2025, em um contexto de negociações comerciais entre os dois países. A Proofpoint, empresa de segurança cibernética, relatou que os ataques focaram em especialistas em comércio internacional e política econômica, enviando e-mails falsificados que convidavam os alvos para uma suposta reunião fechada sobre assuntos EUA-Taiwan e EUA-China. Os e-mails continham links para arquivos protegidos por senha, que, ao serem abertos, executavam um script em Python chamado WhirlCoil, estabelecendo um acesso remoto persistente ao sistema comprometido. Este ataque representa uma ameaça significativa, especialmente em um cenário de crescente tensão entre as potências globais.

O XillenStealer é um malware modular baseado em Python que tem se espalhado rapidamente entre cibercriminosos de baixo nível, devido à sua interface intuitiva e capacidades abrangentes de coleta de dados. Publicado no GitHub, ele utiliza funções nativas do Windows e bibliotecas de cookies de navegadores para extrair informações sensíveis, como credenciais de navegadores, carteiras de criptomoedas e tokens de sessões de mensagens. O malware é distribuído com um construtor integrado que facilita a configuração e a compilação em executáveis autônomos.

Pesquisadores de cibersegurança da Check Point descobriram um ecossistema de malware sofisticado, onde atores de ameaças utilizam repositórios do GitHub para hospedar a infraestrutura de comando e controle da família de malwares Pure. O desenvolvedor PureCoder aproveita plataformas legítimas para distribuir ferramentas maliciosas, dificultando a detecção. A investigação revelou uma cadeia de ataque complexa iniciada por técnicas de phishing, onde vítimas eram atraídas por anúncios de emprego falsos. Ao acessar sites maliciosos, comandos PowerShell eram copiados automaticamente para a área de transferência, levando ao download de arquivos JavaScript que implantavam o PureHVNC RAT. Este malware permite controle remoto de máquinas infectadas sem o conhecimento do usuário. Além disso, os repositórios do GitHub continham plugins para manipulação automatizada de redes sociais. A análise técnica revelou técnicas avançadas de anti-análise e criptografia, tornando a detecção ainda mais desafiadora. A descoberta de contas do GitHub com configuração de fuso horário UTC+0300 sugere uma possível origem russa para os desenvolvedores. Essa situação representa um risco significativo para a segurança cibernética, exigindo atenção das autoridades e profissionais de segurança.

Pesquisadores estão alertando sobre a evolução do malware RatOn, que inicialmente clonava pagamentos por aproximação NFC e agora se transformou em um trojan complexo de acesso remoto. Este malware é capaz de realizar fraudes através de sistemas de transferência automatizada, monitorar dispositivos móveis e roubar senhas de aplicativos como WhatsApp e serviços bancários. O RatOn se espalha por meio de links falsos que prometem conteúdo adulto, como um suposto ‘TikTok +18’. Após a instalação, o malware solicita permissões que permitem a instalação de aplicativos de terceiros, evitando as proteções das lojas oficiais. Uma vez ativo, ele pode capturar credenciais, travar o celular e exigir resgates em criptomoedas. Até agora, os ataques foram observados na República Tcheca e Eslováquia, mas a possibilidade de sua chegada ao Brasil é uma preocupação crescente. Para se proteger, recomenda-se não conceder permissões excessivas a aplicativos, utilizar autenticação em duas etapas e evitar links suspeitos.

O grupo de cibercriminosos norte-coreano Lazarus está por trás da campanha hacker chamada Contagious, que utiliza falsas entrevistas de emprego para roubar dados e dinheiro de indivíduos em diversos países. Desde 2023, o grupo tem como alvo candidatos nas indústrias de criptomoedas e blockchain, visando financiar o governo da Coreia do Norte. Os hackers empregam técnicas de engenharia social, como a criação de situações em que as câmeras dos usuários não funcionam, levando-os a baixar malwares disfarçados de atualizações de software. A ferramenta utilizada, chamada ContagiousDrop, é capaz de identificar o sistema operacional do usuário e enviar o malware apropriado. Durante a investigação realizada entre março e junho de 2025, foi revelado que até 230 pessoas foram afetadas por esses ataques, com os criminosos utilizando plataformas de comunicação como Slack para coordenar suas atividades. A pesquisa também indicou que os hackers estão construindo uma base de dados com informações pessoais das vítimas, o que aumenta a gravidade da situação. A conscientização e a vigilância em relação a ofertas de emprego suspeitas são fundamentais para mitigar esses ataques.

Um novo ataque à cadeia de suprimentos afetou pacotes npm mantidos pela conta da CrowdStrike, intensificando a campanha conhecida como “Shai-Halud”. Pesquisadores de segurança descobriram que pacotes da CrowdStrike estavam infectados com um código malicioso que coleta credenciais, injeta fluxos de trabalho não autorizados e exfiltra segredos. O script malicioso, chamado bundle.js, baixa e utiliza o TruffleHog, uma ferramenta legítima, para escanear o sistema em busca de tokens e chaves de API. Após a coleta, o malware cria fluxos de trabalho não autorizados no GitHub e exfiltra os dados para um endpoint específico. A CrowdStrike e os mantenedores do npm estão colaborando para analisar a situação e desenvolver remediações. Organizações que utilizam pacotes comprometidos devem desinstalá-los imediatamente, monitorar publicações no npm e auditar segredos de credenciais. A situação destaca a necessidade urgente de proteger ambientes de desenvolvimento e prevenir a execução de códigos não autorizados.

O grupo de cibercriminosos conhecido como RevengeHotels (TA558) intensificou suas atividades desde 2015, utilizando inteligência artificial para criar campanhas de phishing sofisticadas que distribuem o Trojan de Acesso Remoto VenomRAT. Os ataques têm como alvo principalmente o setor de hospitalidade, com foco em hotéis brasileiros e em mercados de língua espanhola, como Argentina, Chile e México. Os criminosos enviam e-mails fraudulentos, frequentemente em português ou espanhol, que simulam faturas e contêm links para sites de armazenamento de documentos falsos. Ao acessar esses links, os usuários baixam um loader em JavaScript que, por sua vez, executa scripts PowerShell para instalar o VenomRAT. Este malware, que oferece funcionalidades avançadas como controle remoto oculto e exploração de UAC, é projetado para se manter ativo no sistema, desativando o Windows Defender e monitorando processos de segurança. Os especialistas em segurança cibernética alertam que é essencial que as organizações verifiquem a autenticidade de e-mails inesperados e implementem defesas de endpoint para detectar essas ameaças.

Pesquisadores em cibersegurança alertaram sobre uma nova campanha que utiliza uma variante da tática de engenharia social chamada FileFix para disseminar o malware StealC, um ladrão de informações. A campanha se destaca por empregar um site de phishing multilíngue altamente convincente, como uma página falsa de segurança do Facebook, que utiliza técnicas de anti-análise e ofuscação avançada para evitar a detecção. O ataque começa com um e-mail que alerta os usuários sobre a possível suspensão de suas contas do Facebook, levando-os a um site de phishing onde são induzidos a clicar em um botão para apelar da decisão. Ao clicar, os usuários são instruídos a copiar e colar um caminho para um documento em uma barra de endereços do File Explorer, mas na verdade, estão executando um comando malicioso que baixa e executa um script PowerShell. Este script, por sua vez, baixa um carregador que descompacta o código shell responsável por ativar o StealC. A técnica FileFix se diferencia de outras abordagens, como ClickFix, ao explorar uma funcionalidade comum dos navegadores, tornando a detecção mais difícil. A complexidade e o investimento na infraestrutura de phishing demonstram a sofisticação dos atacantes, que buscam maximizar o impacto e a evasão das defesas de segurança.

Desde sua estreia em 2011, o SmokeLoader evoluiu de um downloader simples para um framework modular robusto, utilizado para implantar malware secundário, como ransomware e trojans. Apesar de uma operação conjunta em maio de 2024 que eliminou muitas instâncias do SmokeLoader, novas variantes surgiram em 2025, incorporando técnicas avançadas de evasão que dificultam a detecção. A sequência de infecção do SmokeLoader começa com um stager compacto que injeta o módulo principal no processo explorer.exe, agora com um controle de mutex mais robusto que previne injeções duplicadas. As novas versões utilizam rotinas de ofuscação baseadas em XOR e um protocolo de comunicação RC4 criptografado, dificultando a análise de protocolos. O verdadeiro poder do SmokeLoader reside em sua arquitetura de plugins, que permite o roubo de credenciais de navegadores, senhas de FTP e ataques DDoS. Para combater essa ameaça, a Zscaler ThreatLabz lançou o SmokeBuster, uma ferramenta de sanitização de código aberto que reconhece e elimina as variantes mais recentes do SmokeLoader. A persistência e as contínuas melhorias do SmokeLoader destacam sua natureza como uma ameaça duradoura e em constante evolução.

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos de software que comprometeu mais de 40 pacotes do registro npm, afetando diversos mantenedores. O ataque envolve a injeção de um código JavaScript malicioso em versões comprometidas dos pacotes, que utiliza a função NpmModule.updatePackage para baixar, modificar e republicar pacotes, permitindo a ’trojanização’ automática de pacotes subsequentes. O objetivo principal é escanear máquinas de desenvolvedores em busca de segredos, utilizando a ferramenta TruffleHog, e enviar essas informações para um servidor controlado pelos atacantes. O ataque é capaz de atingir sistemas Windows e Linux. Os pacotes afetados incluem, entre outros, angulartics2, @ctrl/deluge e ngx-color. Os desenvolvedores são aconselhados a auditar seus ambientes e rotacionar tokens npm e outros segredos expostos. Além disso, um alerta de phishing foi emitido para usuários do crates.io, com e-mails fraudulentos tentando capturar credenciais do GitHub. Esse cenário destaca a evolução preocupante das ameaças à cadeia de suprimentos de software, com um mecanismo de auto-propagação que pode comprometer todo o ecossistema.

Uma nova pesquisa conjunta da Red Canary Intelligence e da Zscaler revela que atacantes estão utilizando ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como ITarian, PDQ Connect, SimpleHelp e Atera, em campanhas de phishing em larga escala. Esses atacantes estão reconfigurando soluções de TI para estabelecer mecanismos de persistência furtiva, evitando a detecção e implantando malware secundário, como ladrões de informações e ransomware.

As campanhas de phishing utilizam técnicas de engenharia social bem conhecidas, sendo as atualizações falsas de navegadores uma das mais eficazes. Em um caso, sites comprometidos de esportes e saúde redirecionaram usuários para páginas fraudulentas de atualização do Chrome. Um overlay JavaScript sofisticado coletou informações dos usuários e os redirecionou para domínios controlados pelos atacantes, onde um instalador malicioso foi baixado.

Um grupo hacker conhecido como WhiteCobra está atacando desenvolvedores por meio de extensões falsas para editores de código como VSCode, Cursor e Windsurf. Essas extensões maliciosas têm como objetivo roubar credenciais de acesso e carteiras de criptomoedas. A descoberta foi feita pelo programador Zak Cole, que teve sua carteira comprometida após instalar uma extensão que parecia legítima, mas que possuía um número de downloads inflacionado artificialmente. Pesquisadores da Koi Security identificaram pelo menos 24 extensões falsas disponíveis em marketplaces oficiais, como o Visual Studio Marketplace e Open VSX. O malware se adapta ao sistema operacional do usuário, utilizando scripts que baixam um software malicioso, como o LummaStealer, em Windows e um binário Mach-O em macOS. O grupo WhiteCobra é descrito como altamente organizado, capaz de lançar ataques em menos de três horas. Para evitar esses golpes, os programadores devem verificar a autenticidade das extensões, desconfiar de nomes que imitam extensões conhecidas e analisar a quantidade de downloads e avaliações positivas em um curto período.

Com a guerra entre Rússia e Ucrânia se arrastando para o final de 2024, o ciberespaço se tornou um campo de batalha crucial, com grupos de hackers pró-russos intensificando suas operações contra indústrias globais. Um grupo identificado como SectorJ149, também conhecido como UAC-0050, está vinculado a ataques sofisticados nos setores de manufatura, energia e semicondutores da Coreia do Sul. As investigações revelaram que esses ataques utilizam malware personalizado adquirido em mercados da dark web, evidenciando a crescente conexão entre conflitos geopolíticos e a interrupção econômica habilitada por ciberataques.

No cenário atual de cibersegurança, o papel do Chief Information Security Officer (CISO) vai além da proteção de tecnologias; ele deve garantir a confiança institucional e a continuidade dos negócios. Recentemente, observou-se um aumento nos ataques direcionados a relações complexas que sustentam as empresas, como cadeias de suprimentos e parcerias estratégicas. Com a ascensão de ataques impulsionados por inteligência artificial e novas regulamentações, as decisões tomadas agora moldarão a resiliência das organizações nos próximos anos.

O grupo de ameaças cibernéticas alinhado à China, conhecido como Mustang Panda, foi identificado utilizando uma versão atualizada de um backdoor chamado TONESHELL e um novo worm USB, denominado SnakeDisk. Segundo pesquisadores da IBM X-Force, o SnakeDisk é projetado para ser executado apenas em dispositivos com endereços IP localizados na Tailândia, onde ele instala o backdoor Yokai. O TONESHELL, documentado pela primeira vez em 2022, é utilizado para baixar cargas úteis adicionais em sistemas infectados, frequentemente através de e-mails de spear-phishing. As variantes mais recentes, TONESHELL8 e TONESHELL9, introduzem comunicação com servidores de comando e controle (C2) através de proxies locais, dificultando a detecção. O SnakeDisk, por sua vez, propaga-se através de dispositivos USB, enganando usuários ao mover arquivos existentes para subdiretórios e renomeando o payload malicioso. A atividade do Mustang Panda, que remonta a pelo menos 2012, destaca a evolução contínua de suas táticas e ferramentas, com um foco particular na Tailândia, o que pode indicar um subgrupo especializado. A IBM X-Force alerta que o grupo mantém um ecossistema de malware robusto e em constante desenvolvimento.

Uma nova campanha de cibersegurança está atacando usuários de língua chinesa através de uma técnica chamada SEO poisoning, que utiliza sites falsos para distribuir malware. Os atacantes manipulam os rankings de busca com plugins de SEO e registram domínios semelhantes a sites legítimos, enganando as vítimas a baixarem software malicioso. Entre os malwares identificados estão HiddenGh0st e Winos, ambos variantes de um trojan de acesso remoto conhecido como Gh0st RAT. A campanha foi descoberta pela Fortinet em agosto de 2025 e redireciona usuários que buscam ferramentas populares como Google Chrome e WhatsApp para sites fraudulentos que instalam malware disfarçado. O malware é projetado para evitar detecções, realizando verificações de antivírus e utilizando técnicas de hijacking para garantir persistência no sistema. Além disso, a Zscaler identificou uma campanha paralela com um novo malware chamado kkRAT, que também visa usuários de língua chinesa. Essa ameaça é particularmente preocupante, pois pode manipular dados de criptomoedas e coletar informações sensíveis. A complexidade e a sofisticação dessas campanhas destacam a necessidade de vigilância constante e precauções rigorosas ao baixar software da internet.

A Microsoft anunciou que está testando uma nova funcionalidade no Microsoft Teams que verifica links enviados em mensagens, alertando tanto quem envia quanto quem recebe. Essa atualização, chamada de ‘Proteção contra URLs Maliciosas para Chat e Canais do Teams’, visa detectar spam, phishing e malware. A tecnologia escaneia as URLs e as compara com bases de dados de inteligência contra ameaças da Microsoft, funcionando para mensagens internas e externas. Os usuários que compartilham links suspeitos receberão um alerta, podendo editar ou deletar a mensagem, enquanto os destinatários verão uma notificação clara sobre o conteúdo suspeito antes de clicar no link. A funcionalidade está disponível em versão de teste nos aplicativos para desktop, Android, iOS e na versão web, e será lançada oficialmente em novembro. Para ativar a checagem de URLs, os administradores devem acessar o Centro de Administração do Teams e selecionar a opção correspondente. Essa iniciativa é um passo importante na luta contra ameaças cibernéticas, especialmente em um ambiente corporativo onde a comunicação digital é essencial.

Um dos maiores ataques a pacotes do npm foi detectado pela Aikido Security, envolvendo 18 pacotes populares, como chalk e debug, que foram comprometidos para roubar carteiras de criptomoedas. O ataque ocorreu após a invasão de um mantenedor confiável, conhecido como qix, que caiu em um golpe de phishing. Esses pacotes, que somam mais de 2 bilhões de downloads semanais, impactaram um grande número de usuários. O malware injetado altera transações de criptomoedas feitas por navegadores, redirecionando fundos para endereços controlados pelos hackers, mesmo que a interface mostre informações corretas. A detecção do ataque foi rápida, ocorrendo em cinco minutos, e a contenção foi realizada em uma hora, minimizando os danos. Especialistas recomendam que desenvolvedores revertam para versões anteriores dos pacotes afetados e monitorem transações de criptomoedas para evitar perdas. Este incidente destaca a vulnerabilidade de ambientes de desenvolvimento e a necessidade de vigilância constante contra ataques de phishing e malware.

Uma nova ferramenta de pentesting chamada Villager, desenvolvida por uma empresa chinesa chamada Cyberspike, tem gerado preocupações significativas na comunidade de cibersegurança. Com cerca de 10.000 downloads em apenas dois meses, a ferramenta utiliza inteligência artificial para automatizar operações de segurança ofensiva, integrando recursos do Kali Linux e do DeepSeek AI. A rápida adoção da ferramenta levanta questões sobre seu uso por atores maliciosos, especialmente considerando que Cyberspike possui laços com círculos de hackers e malware. O relatório da Straiker destaca que a Villager pode seguir o mesmo caminho do Cobalt Strike, uma ferramenta amplamente utilizada por cibercriminosos. Além disso, a falta de um site oficial e o histórico da empresa levantam suspeitas sobre suas intenções. A Villager é acessível gratuitamente no PyPI, o que facilita ainda mais sua disseminação. A situação exige atenção, pois a automação de ataques pode aumentar a eficácia de ameaças persistentes e complexas no cenário global de cibersegurança.

O malware Backdoor.Win32.Buterat representa uma ameaça significativa para redes empresariais e governamentais, utilizando técnicas avançadas de furtividade e comunicação adaptativa para garantir controle a longo prazo sobre sistemas comprometidos. Diferente de malwares comuns que visam destruição rápida ou roubo massivo de dados, o Buterat foca na persistência encoberta e no acesso remoto, permitindo que operadores expandam sua presença, implantem cargas secundárias e coletem informações sensíveis sem serem detectados.

Após ser entregue, geralmente por meio de e-mails de spear-phishing ou downloads de software comprometido, o Buterat inicia sua execução em um ponto de entrada oculto e disfarça suas threads sob processos legítimos do sistema. O uso de chamadas de API ofuscadas e a modificação de chaves de registro garantem que o malware permaneça ativo mesmo após reinicializações. Além disso, a comunicação com o servidor de comando e controle (C2) é criptografada, dificultando a detecção por sistemas de monitoramento de rede.

Pesquisadores de cibersegurança descobriram uma sofisticada campanha de malvertising que utiliza repositórios oficiais do GitHub para distribuir malware disfarçado como downloads do cliente GitHub Desktop. O ataque começa quando atores de ameaças ‘forkam’ repositórios legítimos do GitHub, inserindo conteúdo malicioso em arquivos README.md. Links manipulados direcionam os usuários para esses repositórios comprometidos, onde encontram uma página que parece ser a oficial do GitHub Desktop. No entanto, o link de download leva a um instalador malicioso, identificado como GitHubDesktopSetup-x64.exe, que inicia uma cadeia de execução complexa envolvendo processos legítimos do Windows para evitar a detecção. O malware utiliza técnicas de evasão sofisticadas, armazenando cargas úteis codificadas em mensagens de commit e executando scripts PowerShell maliciosos. A campanha é direcionada especificamente a sistemas Windows e demonstra como plataformas confiáveis podem ser abusadas para distribuir malware, destacando a necessidade de soluções robustas de detecção e resposta em endpoints e a importância da educação dos usuários sobre a verificação de fontes de download.

Desde o final de agosto de 2025, a Trend™ Research identificou um aumento global de malware disfarçado como aplicações legítimas de IA e produtividade, denominado EvilAI. Este malware utiliza trojans que se apresentam com interfaces realistas e funcionalidades válidas, permitindo a infiltração em sistemas corporativos e pessoais sem levantar suspeitas. Os instaladores do EvilAI são nomeados com termos genéricos, como ‘App Suite’ e ‘PDF Editor’, e, após a instalação, executam um payload JavaScript malicioso em segundo plano. Para garantir a persistência, o malware cria tarefas agendadas e entradas no registro do Windows, permitindo sua reexecução mesmo após reinicializações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no software DELMIA Apriso da Dassault Systèmes em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-5086, possui uma pontuação CVSS de 9.0, indicando um alto nível de risco. O problema afeta versões do software desde 2020 até 2025 e pode permitir a execução remota de código, resultando em sérios riscos de segurança. A CISA alertou que tentativas de exploração estão ativas, com ataques originando-se de um endereço IP localizado no México. Os ataques envolvem o envio de uma solicitação HTTP a um endpoint específico, utilizando um payload codificado em Base64 que se decodifica para um executável malicioso. O malware identificado como ‘Trojan.MSIL.Zapchast.gen’ é projetado para espionar atividades do usuário, coletando informações sensíveis. Diante da exploração ativa, as agências do governo dos EUA foram orientadas a aplicar atualizações até 2 de outubro de 2025 para proteger suas redes.

Pesquisadores da Bitdefender alertaram sobre um novo malware sem arquivo, chamado EggStreme, que foi utilizado por um ator de ameaça chinês para atacar uma empresa militar nas Filipinas. O EggStreme é uma estrutura modular que permite acesso remoto, injeção de payloads, registro de teclas e espionagem persistente. O malware é composto por seis componentes principais, incluindo um carregador inicial que estabelece uma conexão reversa e um backdoor principal que suporta 58 comandos. A entrega do malware ocorre por meio de um arquivo DLL carregado lateralmente, que é ativado por executáveis confiáveis, permitindo que ele contorne controles de segurança. Embora a Bitdefender tenha tentado atribuir o ataque a grupos APT chineses conhecidos, não conseguiu estabelecer uma conexão clara, mas os objetivos do ataque se alinham com as táticas de espionagem cibernética frequentemente associadas a esses grupos. O ataque destaca a crescente preocupação com a segurança cibernética na região da Ásia-Pacífico, onde atores estatais têm se mostrado ativos em várias nações vizinhas, incluindo Vietnã e Taiwan.

O AdaptixC2, um framework de pós-exploração de código aberto, tem sido utilizado em diversos ataques reais nos últimos meses. Pesquisadores da Unit 42 identificaram sua implementação em maio de 2025, revelando campanhas que combinam engenharia social e scripts gerados por IA para comprometer endpoints Windows. A arquitetura modular do AdaptixC2, junto com perfis de configuração criptografados e técnicas de execução sem arquivo, permite que os atacantes mantenham acesso persistente e oculto, evitando defesas tradicionais.

O ZynorRAT, um novo Trojan de Acesso Remoto (RAT), está gerando preocupações entre pesquisadores de segurança devido às suas capacidades multiplataforma e à infraestrutura de comando e controle (C2) furtiva. Lançado em julho de 2025, o ZynorRAT utiliza binários em Go para Linux e Windows, permitindo uma gama de funções controladas por atacantes através de um bot no Telegram. O RAT estabelece seu canal C2 por meio do Telegram, incorporando o token do bot e o identificador de chat diretamente no binário. Ao ser executado, ele consulta a API do Telegram para comandos, executando instruções reconhecidas ou revertendo para a execução de shell. Entre as funções disponíveis estão exfiltração de arquivos, listagem de diretórios e processos, captura de tela e instalação de persistência. O ZynorRAT também demonstra um desenvolvimento ativo, com uma redução nas taxas de detecção em uploads sucessivos ao VirusTotal. A detecção e mitigação são possíveis através de regras específicas e assinaturas YARA, com recomendações para monitoramento contínuo e auditoria de diretórios de serviços de usuário. Dada a sua evolução e potencial de exploração, as organizações devem atualizar suas regras de detecção e reforçar controles de saída de rede.

Pesquisadores do Zscaler ThreatLabz identificaram uma campanha de malware sofisticada que visa usuários de língua chinesa desde maio de 2025, introduzindo uma nova família de Trojans de Acesso Remoto (RAT) chamada kkRAT. Os atacantes utilizam sites de phishing hospedados no GitHub Pages, disfarçando-se como instaladores de software legítimos para distribuir arquivos ZIP maliciosos. Esses arquivos contêm um executável benigno e uma DLL maliciosa que carrega o payload final, que pode ser ValleyRAT, FatalRAT ou kkRAT, dependendo do caso.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cursor AI Code Editor, permitindo que atacantes executem comandos arbitrários na máquina de um desenvolvedor assim que uma pasta de projeto é aberta. Descoberta pela equipe de pesquisa da Oasis Security, a falha explora uma configuração padrão do Cursor que desativa o recurso ‘Workspace Trust’, semelhante ao do Visual Studio Code, mas que não solicita consentimento do usuário. Com isso, um invasor pode criar um repositório malicioso contendo um arquivo .vscode/tasks.json configurado para executar comandos automaticamente ao abrir a pasta comprometida. Isso pode resultar na instalação de backdoors, exfiltração de arquivos ou modificação de configurações do sistema, colocando em risco credenciais de alto privilégio armazenadas nas estações de trabalho dos desenvolvedores. A vulnerabilidade pode ser um ponto de partida para ataques em cadeia, comprometendo pipelines de CI/CD e infraestrutura em nuvem. A Cursor reconheceu o problema e planeja publicar orientações de segurança atualizadas, enquanto recomenda-se que equipes de desenvolvimento ativem manualmente o ‘Workspace Trust’ e evitem abrir repositórios não confiáveis em ambientes isolados.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza o software legítimo ConnectWise ScreenConnect para distribuir um loader que instala um trojan de acesso remoto (RAT) chamado AsyncRAT. O ataque começa com o uso do ScreenConnect para obter acesso remoto, seguido pela execução de um loader em VBScript e PowerShell que busca componentes ofuscados em URLs externas. Esses componentes incluem assemblies .NET codificados que se descompactam em AsyncRAT, mantendo persistência através de uma tarefa agendada disfarçada de ‘Skype Updater’.

Uma campanha sofisticada de malware sem arquivo foi descoberta, utilizando o AsyncRAT, um poderoso Trojan de Acesso Remoto. Pesquisadores da LevelBlue detalharam a metodologia do ataque, que começa com um cliente ScreenConnect comprometido, um software legítimo de acesso remoto. Os atacantes estabelecem uma sessão interativa através de um domínio malicioso, executando um arquivo VBScript que aciona comandos PowerShell para baixar dois payloads externos.

Os payloads são carregados diretamente na memória, sem deixar vestígios em disco, utilizando técnicas de reflexão. A primeira etapa do malware, Obfuscator.dll, é responsável por inicialização, persistência e técnicas de evasão. A persistência é alcançada através de uma tarefa agendada disfarçada de “Skype Updater”. O segundo componente, AsyncClient.exe, implementa funcionalidades de comando e controle, realizando reconhecimento do sistema e coletando informações sensíveis, como dados de carteiras de criptomoedas. O uso de técnicas avançadas de evasão e a execução apenas em memória tornam o AsyncRAT uma ameaça significativa para a segurança cibernética, destacando a necessidade de soluções de segurança mais robustas.

Um grupo de ameaça persistente avançada (APT) da China foi responsabilizado pelo comprometimento de uma empresa militar nas Filipinas, utilizando um malware fileless inédito chamado EggStreme. Segundo a pesquisa da Bitdefender, o EggStreme é uma ferramenta multifásica que permite espionagem discreta, injetando código malicioso diretamente na memória e utilizando técnicas de DLL sideloading para executar cargas úteis. O componente central, EggStremeAgent, atua como um backdoor completo, permitindo reconhecimento extensivo do sistema, movimentação lateral e roubo de dados através de um keylogger.

Uma nova campanha de malware está atacando APIs Docker mal configuradas expostas à internet, implantando cryptominers e utilizando a rede Tor para ocultar suas atividades. Inicialmente relatada em junho de 2025 pela equipe de Inteligência de Ameaças da Trend Micro, essa variante foi observada em honeypots da Akamai em agosto de 2025, ampliando suas capacidades de infecção. O malware explora portas Docker abertas (2375) para lançar um contêiner Alpine, montar o sistema de arquivos raiz do host e executar scripts maliciosos. A persistência é garantida por meio de modificações nas configurações SSH e criação de tarefas cron para comunicação discreta. A nova variante identificada pela Akamai não apenas implanta um cryptominer, mas também um pacote multifuncional que inclui ferramentas como masscan e libpcap, bloqueando o acesso a outras ameaças. Os indicadores de comprometimento incluem implantações incomuns de contêineres e conexões de saída para domínios .onion. Para mitigar esses riscos, recomenda-se restringir a exposição da API Docker e monitorar acessos não autorizados.

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

O Centro de Inteligência de Ameaças S2W da Coreia do Sul revelou uma campanha sofisticada do grupo APT Kimsuky, apoiado pela Coreia do Norte, que utiliza repositórios do GitHub para hospedar e atualizar malware baseado em PowerShell. Os atacantes disfarçam arquivos LNK como faturas eletrônicas, criando backdoors persistentes e exfiltrando metadados sensíveis para repositórios controlados por eles. A intrusão começa com um arquivo ZIP contendo um atalho malicioso que, ao ser executado, baixa e executa um script PowerShell de um repositório privado no GitHub. Este script não apenas disfarça a atividade maliciosa, mas também coleta informações críticas do sistema, como endereço IP e versão do sistema operacional, enviando esses dados de volta para o repositório do atacante. A análise dos repositórios revelou a utilização de ferramentas de acesso remoto (RAT) e processos de monitoramento de área de transferência. Para mitigar essa ameaça, recomenda-se que equipes de segurança monitorem o tráfego da API do GitHub e implementem validações mais rigorosas de tokens do GitHub em scripts.

A empresa de cibersegurança Kroll revelou uma campanha de espionagem sofisticada utilizando um malware inédito chamado GONEPOSTAL, atribuído ao grupo de ameaças patrocinado pelo estado russo KTA007, conhecido como Fancy Bear ou APT28. Este malware inova ao usar a funcionalidade de e-mail do Microsoft Outlook como um canal oculto para comunicações de comando e controle (C2).

A arquitetura do GONEPOSTAL é composta por um dropper DLL malicioso e um arquivo VbaProject.OTM protegido por senha, que contém macros do Outlook. O ataque inicia com a execução de um DLL malicioso que se disfarça como uma biblioteca legítima da Microsoft, redirecionando funções para garantir a funcionalidade normal do aplicativo enquanto executa código malicioso.

O Salty2FA é um novo kit de phishing que tem se destacado por sua capacidade de contornar métodos de autenticação de dois fatores (2FA), colocando em risco diversas indústrias, especialmente nos setores financeiro, energético e de telecomunicações. Identificado em campanhas nos EUA e na Europa, o kit utiliza uma cadeia de execução em múltiplas etapas e infraestrutura evasiva para interceptar credenciais e códigos 2FA. A análise de um caso real revelou que um funcionário recebeu um e-mail disfarçado de solicitação de correção de pagamento, levando-o a uma página de login falsa da Microsoft. A partir daí, as credenciais foram roubadas e, se a conta tivesse 2FA, o kit poderia interceptar os códigos de verificação. Para mitigar os riscos associados ao Salty2FA, as equipes de segurança devem focar na detecção de comportamentos, realizar análises em sandbox e reforçar políticas de autenticação multifatorial, priorizando tokens de aplicativo ou hardware em vez de SMS. A adoção de sandboxes interativas, como o ANY.RUN, pode aumentar a eficiência das operações de segurança, permitindo investigações mais rápidas e precisas.

O Comitê Selecionado da Câmara dos EUA sobre a China emitiu um alerta sobre uma série de campanhas de espionagem cibernética altamente direcionadas, supostamente ligadas à República Popular da China (RPC), em meio a negociações comerciais tensas entre os EUA e a China. As campanhas têm como alvo organizações e indivíduos envolvidos na política comercial e diplomática entre os dois países, incluindo agências governamentais dos EUA, empresas, escritórios de advocacia em Washington e grupos de reflexão. Os atacantes, identificados como APT41, usaram e-mails de phishing se passando pelo congressista republicano John Robert Moolenaar para enganar os destinatários e obter acesso não autorizado a sistemas e informações sensíveis. O objetivo final era roubar dados valiosos, utilizando serviços de software e nuvem para ocultar suas atividades. O ataque mais recente envolveu um e-mail que continha um anexo malicioso que, ao ser aberto, implantava malware para coletar dados sensíveis. O comitê acredita que essas ações são parte de uma operação de espionagem cibernética apoiada pelo estado chinês, visando influenciar as deliberações políticas dos EUA e obter vantagens nas negociações comerciais.

Pesquisadores de cibersegurança da CYFIRMA identificaram um infostealer sofisticado, denominado Salat Stealer (ou WEB_RAT), que opera com uma infraestrutura avançada de comando e controle (C2) para extrair dados sensíveis de sistemas Windows. Este malware é especialmente eficaz na exfiltração de credenciais de navegadores, informações de carteiras de criptomoedas e dados de sessão, utilizando diversas técnicas de evasão para evitar a detecção. O arquivo analisado, com 3,14 MB, apresenta um alto valor de entropia, indicando forte ofuscação. Ao ser executado, o Salat Stealer implementa mecanismos de persistência, como entradas no registro e tarefas agendadas com nomes enganosos, para se disfarçar como processos legítimos do sistema.

Uma nova campanha de cibersegurança identificada pela Darktrace revela um sofisticado malware de criptomineração que utiliza o mapa de caracteres do Windows para se infiltrar em sistemas. Conhecido como cryptojacking, esse tipo de ataque utiliza o poder de processamento dos computadores para minerar criptomoedas em benefício dos hackers. A análise foi conduzida pelas especialistas Keanna Grelicha e Tara Gould, que detectaram um comportamento anômalo em um cliente, indicando a presença de um novo agente PowerShell. O malware, denominado NBMiner, foi introduzido através de um loader Autolt ofuscado, que se disfarça sob camadas de código para evitar a detecção. O ataque se inicia com a execução do programa ‘charmap.exe’, que verifica se ferramentas de segurança estão ativas antes de se conectar a um pool de mineração. Embora inicialmente cause aumento no consumo de energia e lentidão do sistema, o cryptojacking pode levar a problemas mais sérios, como roubo de dados pessoais. A Darktrace conseguiu mitigar a ameaça ao bloquear a conexão do dispositivo infectado com os servidores dos hackers, destacando a importância de medidas de segurança eficazes.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza um malware bancário transformado em um trojan de acesso remoto chamado MostereRAT. Este ataque emprega técnicas sofisticadas de evasão para assumir o controle total de sistemas comprometidos, roubar dados sensíveis e estender suas funcionalidades por meio de plugins secundários. O malware é desenvolvido em uma linguagem de programação visual chamada Easy Programming Language (EPL), que facilita o uso por pessoas que não dominam o inglês. Os e-mails, direcionados principalmente a usuários japoneses, enganam as vítimas com iscas relacionadas a consultas comerciais, levando-as a baixar um documento malicioso. Uma vez instalado, o MostereRAT pode desativar mecanismos de segurança do Windows, bloquear tráfego de rede de programas de segurança e executar uma variedade de comandos, como capturar teclas e tirar screenshots. Além disso, a pesquisa também destaca uma nova campanha que utiliza técnicas semelhantes para distribuir um ladrão de informações chamado MetaStealer. Essas ameaças representam um risco significativo, especialmente devido à sua capacidade de contornar soluções de segurança e à necessidade de interação manual das vítimas, o que dificulta a detecção e prevenção. A educação dos usuários sobre engenharia social continua sendo crucial para mitigar esses riscos.

Um novo malware para Android, denominado RatOn, evoluiu de uma ferramenta básica para um sofisticado trojan de acesso remoto, capaz de realizar fraudes financeiras. De acordo com um relatório da ThreatFabric, o RatOn combina ataques de sobreposição tradicionais com transferências automáticas de dinheiro e funcionalidades de comunicação por campo próximo (NFC), tornando-se uma ameaça poderosa. O malware visa aplicativos de carteira de criptomoedas, como MetaMask e Trust, e pode realizar transferências automáticas utilizando um aplicativo bancário específico da República Tcheca.

Um novo tipo de malware foi identificado na infraestrutura de honeypots da Akamai Hunt, visando APIs Docker mal configuradas para obter acesso root completo e estabelecer persistência a longo prazo. Observado pela primeira vez em agosto de 2025, essa variante se diferencia de descobertas anteriores ao bloquear o acesso de outros atacantes e incorporar múltiplas ferramentas de infecção, preparando o terreno para uma possível botnet distribuída.

O ataque se inicia com um pedido HTTP POST à API remota do daemon Docker, instruindo-o a criar um contêiner Alpine Linux com o sistema de arquivos do host montado. O contêiner executa um comando shell codificado em Base64 que instala ferramentas como curl e Tor, baixa um script secundário de um serviço oculto Tor e altera a configuração SSH do host para permitir login root e adicionar uma chave pública maliciosa para acesso remoto.

Uma campanha de intrusão sofisticada, iniciada em setembro de 2024, explorou uma vulnerabilidade no instalador do EarthTime da DeskSoft para disseminar diversas famílias de malware e realizar reconhecimento de rede, roubo de credenciais e exfiltração de dados por meio de sessões RDP tuneladas. O ataque começou quando um usuário executou um instalador do EarthTime adulterado, que, ao ser iniciado, ativou uma cadeia de execução anômala que injetou o SectopRAT, um RAT .NET, no processo do MSBuild. Os atacantes estabeleceram persistência ao copiar o payload para a pasta de inicialização e criaram uma conta de administrador local para acesso contínuo. A movimentação lateral foi realizada principalmente por meio de padrões de logon RDP, enquanto um ataque DCSync recuperou credenciais de domínio. A exfiltração de dados foi realizada via FTP em texto claro, expondo credenciais durante a transferência. Este incidente destaca a necessidade crítica de validação robusta de certificados e monitoramento de atividades anômalas em ambientes corporativos.

Um ataque à cadeia de suprimentos de software comprometeu múltiplos pacotes do npm após o roubo da conta de um mantenedor, Josh Junon, em um ataque de phishing. O e-mail fraudulento, que se disfarçou como uma comunicação oficial do npm, induziu Junon a inserir suas credenciais e token de autenticação de dois fatores (2FA) em uma página falsa. Isso permitiu que os atacantes publicassem versões maliciosas de 20 pacotes populares, que juntos somam mais de 2 bilhões de downloads semanais. O malware injetado foi projetado para interceptar solicitações de transações de criptomoedas, substituindo o endereço da carteira de destino por um controlado pelos atacantes. A análise do código malicioso revelou que ele atua como um interceptor baseado em navegador, comprometendo o tráfego de rede e APIs de aplicativos. O incidente destaca a vulnerabilidade dos ecossistemas de pacotes, como o npm, que são alvos frequentes devido à sua popularidade. Especialistas alertam para a necessidade de vigilância constante e fortalecimento das práticas de segurança nas cadeias de suprimentos de software.

Um novo relatório da VirusTotal, da Google, revela uma técnica inovadora utilizada por hackers para ocultar malwares em arquivos de imagem SVG (Scalable Vector Graphics). Embora esses arquivos sejam comumente considerados inofensivos, eles podem conter códigos maliciosos embutidos. A análise identificou uma campanha que utilizou mais de 500 imagens SVG para disseminar malwares, imitando agências governamentais e conseguindo evitar a detecção por antivírus tradicionais. A ameaça foi descoberta após a plataforma Code Insight, que utiliza inteligência artificial para identificar vírus, começar a escanear arquivos SVG. As imagens continham códigos JavaScript disfarçados como páginas HTML, levando os usuários a um site falso do judiciário da Colômbia. Ao interagir com a imagem, o usuário era induzido a baixar um arquivo zip protegido por senha, que, ao ser extraído, revelava um executável malicioso. Essa técnica de ocultação foi tão eficaz que 44 das 523 imagens analisadas passaram despercebidas pelos antivírus. A situação levou à decisão da Microsoft de desabilitar a renderização de SVGs em seu serviço de e-mail Outlook, destacando a gravidade da ameaça.

Um vazamento significativo de dados expôs as operações do grupo cibernético Kimsuky, vinculado à Coreia do Norte, revelando táticas e técnicas avançadas de ataque. O conjunto de dados vazados mostra operações sofisticadas de roubo de credenciais, com foco em redes da Coreia do Sul e Taiwan, integrando infraestrutura chinesa. Entre as descobertas, destaca-se o desenvolvimento de malware avançado e a implementação de um rootkit Linux, que permite acesso persistente e oculto aos sistemas. Além disso, o uso de ferramentas de Reconhecimento Óptico de Caracteres (OCR) para analisar documentos de segurança em coreano sugere tentativas de clonar sistemas de Infraestrutura de Chave Pública (PKI) da Coreia do Sul. O vazamento inclui arquivos de certificados PKI comprometidos, evidenciando a penetração em infraestruturas digitais críticas. O operador Kim demonstra uma evolução preocupante nas operações cibernéticas de nações-estado, utilizando recursos chineses para expandir seu alcance e dificultar a atribuição de ataques. Essa situação representa um risco elevado para a segurança cibernética na região e, potencialmente, para o Brasil, dada a interconexão global das redes.

Uma nova campanha de malware, chamada Atomic macOS Stealer (AMOS), foi descoberta, visando usuários do macOS ao se disfarçar como software pirata. Os atacantes atraem as vítimas para sites maliciosos que oferecem versões ‘crackeadas’ de aplicativos populares. O malware utiliza técnicas enganosas de instalação que exploram as permissões do Gatekeeper do macOS e comandos do Terminal. Uma vez instalado, o AMOS coleta informações sensíveis, como credenciais, cookies de navegador e dados de carteiras de criptomoedas, antes de exfiltrar essas informações para servidores controlados pelos atacantes. As organizações são aconselhadas a reforçar as configurações do Gatekeeper, desativar a instalação de software não assinado e treinar os usuários sobre os riscos associados ao software pirata. A detecção e resposta gerenciadas são essenciais para mitigar os riscos associados a essa ameaça, que representa um sério desafio à segurança, especialmente em ambientes corporativos que utilizam dispositivos Apple.