Malware

A Proofpoint revelou uma campanha de e-mails direcionados atribuída ao grupo de ameaças TA446, vinculado ao governo russo, que está utilizando o kit de exploits DarkSword para atacar dispositivos iOS. A campanha, que começou em 26 de março de 2026, envolveu e-mails falsos que simulavam convites para discussões do Atlantic Council, com o objetivo de entregar o malware GHOSTBLADE. Este ataque é notável, pois o TA446 não havia atacado dispositivos Apple anteriormente. A Proofpoint observou um aumento significativo no volume de e-mails maliciosos nas últimas semanas, com a utilização de arquivos ZIP protegidos por senha para implantar um backdoor conhecido como MAYBEROBOT. A empresa também destacou que a nova capacidade de ataque do DarkSword permite ao grupo ampliar seu alcance, visando uma variedade de entidades, incluindo governos e instituições financeiras. A Apple, por sua vez, começou a enviar notificações de segurança para usuários de iPhones e iPads, alertando sobre ataques baseados na web e incentivando a atualização do sistema operacional. A situação é preocupante, especialmente com a democratização do acesso a exploits de estado-nação, o que pode alterar significativamente o cenário de ameaças móveis.

Uma nova campanha de cibersegurança está atacando desenvolvedores no GitHub, utilizando alertas falsos de segurança do Visual Studio Code (VS Code) para induzir usuários a baixar malware. Os posts, que aparecem na seção de Discussões de vários projetos, são elaborados como avisos de vulnerabilidade e apresentam títulos alarmantes, como “Vulnerabilidade Severa - Atualização Imediata Necessária”, frequentemente incluindo IDs de CVE falsos. Os atacantes se passam por mantenedores de código reais, criando uma falsa sensação de legitimidade. A empresa de segurança Socket identificou que essa atividade é parte de uma operação bem organizada, com posts automatizados de contas recém-criadas ou com pouca atividade, que geram notificações por e-mail para um grande número de usuários. Os links nos alertas direcionam para versões supostamente corrigidas de extensões do VS Code, hospedadas em serviços externos como o Google Drive, o que pode enganar os usuários apressados. Ao clicar, os usuários são redirecionados para um site que coleta informações sobre o sistema da vítima. Este incidente destaca a necessidade de cautela ao lidar com alertas de segurança e a importância de verificar a legitimidade das fontes antes de agir.

Hackers do grupo TeamPCP comprometeram o pacote Telnyx no Python Package Index (PyPI), carregando versões maliciosas que distribuem malware projetado para roubar credenciais, oculto dentro de um arquivo WAV. O ataque à cadeia de suprimentos foi detectado por empresas de segurança como Aikido, Socket e Endor Labs, que associaram a ação ao TeamPCP, conhecido por ataques anteriores a sistemas iranianos e por comprometer ferramentas populares como o scanner de vulnerabilidades Trivy. As versões maliciosas 4.87.1 e 4.87.2 do pacote Telnyx foram publicadas, com a segunda versão corrigindo um erro na primeira. O malware, que se ativa automaticamente ao importar o pacote, é capaz de roubar chaves SSH, credenciais e tokens de nuvem em sistemas Linux e macOS, enquanto no Windows, ele se instala na pasta de inicialização para persistência. Pesquisadores alertam que a versão 4.87.0 é a única limpa e recomendam que os desenvolvedores revertam para ela imediatamente. Sistemas que importaram as versões comprometidas devem ser considerados totalmente comprometidos, com a necessidade urgente de rotação de segredos.

O grupo de cibercriminosos TeamPCP comprometeu o pacote Python telnyx, publicando duas versões maliciosas (4.87.1 e 4.87.2) no repositório PyPI, com o objetivo de roubar dados sensíveis. As versões maliciosas, lançadas em 27 de março de 2026, utilizam esteganografia em arquivos .WAV para ocultar suas capacidades de coleta de credenciais. Usuários são aconselhados a reverter para a versão 4.87.0 imediatamente, uma vez que o projeto PyPI está em quarentena. O código malicioso foi injetado no arquivo ’telnyx/_client.py’, sendo ativado ao importar o pacote em aplicações Python, afetando sistemas Windows, Linux e macOS. No Windows, o malware persiste através de um arquivo chamado ‘msbuild.exe’ na pasta de inicialização, enquanto em Linux e macOS, ele realiza uma coleta rápida de dados antes de se autodestruir. O ataque destaca uma nova abordagem dos cibercriminosos, que agora visam pacotes legítimos amplamente utilizados, em vez de publicar diretamente versões maliciosas. Para mitigar a ameaça, desenvolvedores devem auditar seus ambientes Python, rotacionar segredos e bloquear o domínio de exfiltração. Este incidente é parte de uma campanha mais ampla do TeamPCP, que colabora com outros grupos de cibercrime.

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

Uma campanha de espionagem cibernética atribuída a um ator de ameaça vinculado à China tem se infiltrado em redes de telecomunicações para atacar redes governamentais. O grupo, conhecido como Red Menshen, tem um histórico de ataques a provedores de telecomunicações no Oriente Médio e na Ásia desde 2021. A Rapid7 descreveu os mecanismos de acesso como “algumas das células digitais mais furtivas” já encontradas. A campanha utiliza implantes em nível de kernel, backdoors passivos e ferramentas de coleta de credenciais, destacando um backdoor Linux chamado BPFDoor. Este malware é notável por não expor portas de escuta, ativando-se apenas quando recebe um pacote de ativação específico. Os ataques começam com a exploração de infraestruturas expostas, como dispositivos VPN e firewalls. Após obter acesso, são implantados frameworks de comando e controle para facilitar atividades pós-exploração. O BPFDoor permite monitorar protocolos nativos de telecomunicações, oferecendo visibilidade sobre o comportamento e a localização de assinantes. Uma variante recente do BPFDoor foi encontrada, que se camufla dentro do tráfego HTTPS, aumentando sua evasão. Essa evolução nas táticas de ataque destaca a necessidade de vigilância contínua em ambientes críticos de telecomunicações.

Criminosos estão explorando a credibilidade do portal gov.br para disseminar malware que captura senhas e dados bancários. Segundo Rodolfo Almeida, cofundador da ViperX, o ataque se diferencia dos golpes tradicionais, pois induz a vítima a baixar um arquivo malicioso em vez de coletar dados por meio de formulários falsos. O golpe começa com um link enviado via SMS, WhatsApp ou e-mail, que redireciona para uma página idêntica ao gov.br, onde a vítima é instruída a baixar um arquivo. Uma vez executado, o malware, conhecido como ‘infostealer’, se camufla em aplicativos legítimos do Windows e opera em segundo plano, registrando digitações e capturando telas. A eficácia desse golpe está ligada à confiança que o público deposita nas instituições governamentais, aumentando a taxa de conversão do ataque. Para se proteger, Almeida recomenda verificar o endereço do link, desconfiar de downloads, ativar a autenticação em dois fatores e manter sistemas atualizados. Caso alguém suspeite de infecção, deve encerrar sessões abertas e notificar o banco imediatamente.

Em 24 de março de 2026, o pacote LiteLLM foi alvo de um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP. Duas versões maliciosas (1.82.7 e 1.82.8) foram publicadas no PyPi, executando automaticamente um payload para roubo de credenciais e permitindo a exfiltração de dados sensíveis, como tokens de API, dados em nuvem e chaves SSH. O LiteLLM, uma biblioteca Python de código aberto, é amplamente utilizada, com cerca de 97 milhões de downloads mensais, o que aumenta a gravidade do incidente. Estima-se que cerca de 500.000 credenciais já tenham sido comprometidas, e especialistas alertam que isso pode ser apenas o começo de um ataque maior. Ferramentas de segurança tradicionais falharam em detectar a exploração, e muitos desenvolvedores podem não estar cientes de que o LiteLLM é uma dependência em seus projetos. Em resposta, a Point Wild desenvolveu um scanner de IA chamado ‘who-touched-my-packages’ para detectar comportamentos maliciosos em pacotes de terceiros. O TeamPCP também é responsável por outros ataques recentes, incluindo a distribuição de malware via o scanner de vulnerabilidades Trivy e uma campanha que visa clusters Kubernetes. Os ataques à cadeia de suprimentos estão se tornando uma prioridade para hackers, pois permitem acesso a múltiplas organizações a partir de uma única fonte.

Recentemente, a Kaspersky revelou que o kit de exploração Coruna, que afeta dispositivos Apple com iOS entre as versões 13.0 e 17.2.1, utiliza uma versão atualizada de um exploit previamente empregado na campanha de ciberespionagem Operation Triangulation, de 2023. O Coruna, inicialmente identificado por Google e iVerify, contém cinco cadeias completas de exploits para iOS e um total de 23 exploits, incluindo os CVEs 2023-32434 e 2023-38606. Esses exploits foram projetados para atacar vulnerabilidades do sistema operacional móvel da Apple, com um foco crescente em dispositivos mais recentes, como os processadores A17 e M3. O kit foi utilizado em ataques de watering hole na Ucrânia e em campanhas de exploração em massa através de sites falsos de jogos e criptomoedas. A Kaspersky alerta que, embora o Coruna tenha sido desenvolvido para fins de ciberespionagem, agora está sendo utilizado por cibercriminosos, colocando milhões de usuários em risco. O uso de exploits modulares e a facilidade de reutilização indicam que outros atores maliciosos podem adotar essa ferramenta em seus ataques.

Nesta semana, o boletim de segurança destaca uma série de ameaças cibernéticas e inovações tecnológicas. A Google anunciou um cronograma acelerado para a migração para a criptografia pós-quântica (PQC), visando proteger dados contra futuros ataques de computadores quânticos. A atualização inclui a integração do algoritmo de assinatura digital ML-DSA no Android 17, aumentando a segurança durante o processo de inicialização. Além disso, o GitHub introduziu detecções de segurança impulsionadas por IA para identificar vulnerabilidades em códigos, melhorando a cobertura de segurança em diversas linguagens e frameworks.

Pesquisadores de cibersegurança descobriram um novo skimmer de pagamento que utiliza canais de dados WebRTC para receber cargas maliciosas e exfiltrar dados, contornando controles de segurança tradicionais. Em um ataque recente, um site de e-commerce de um fabricante de automóveis foi comprometido devido à vulnerabilidade PolyShell, que afeta o Magento Open Source e o Adobe Commerce. Essa falha permite que atacantes não autenticados carreguem executáveis arbitrários via API REST, resultando em execução de código. Desde 19 de março de 2026, a PolyShell tem sido amplamente explorada, com mais de 50 endereços IP envolvidos na atividade de varredura, afetando 56,7% das lojas vulneráveis. O skimmer estabelece uma conexão peer-to-peer WebRTC com um endereço IP específico e injeta código JavaScript na página da web para roubar informações de pagamento. A utilização de WebRTC representa uma evolução significativa nos ataques de skimmer, pois contorna as diretrizes de Política de Segurança de Conteúdo (CSP), dificultando a detecção do tráfego malicioso. A Adobe lançou uma correção para a vulnerabilidade, mas ainda não está disponível nas versões de produção. Os proprietários de sites são aconselhados a bloquear o acesso a diretórios específicos e a escanear suas lojas em busca de shells web e outros malwares.

Um novo malware de roubo de informações, chamado Torg Grabber, está comprometendo dados sensíveis de 850 extensões de navegador, sendo mais de 700 delas voltadas para carteiras de criptomoedas. O acesso inicial é realizado através da técnica ClickFix, que sequestra a área de transferência e engana o usuário para executar um comando PowerShell malicioso. Pesquisadores da Gen Digital relatam que o Torg Grabber está em desenvolvimento ativo, com 334 amostras únicas compiladas em apenas três meses e novos servidores de comando e controle (C2) sendo registrados semanalmente. Além de carteiras de criptomoedas, o malware também rouba dados de 103 gerenciadores de senhas e ferramentas de autenticação de dois fatores. O Torg Grabber evoluiu rapidamente, abandonando métodos anteriores de exfiltração de dados em favor de uma conexão HTTPS, e implementou mecanismos de anti-análise e ofuscação para evitar detecções. O malware é capaz de roubar credenciais, cookies e dados de preenchimento automático, além de coletar informações de aplicativos populares como Discord, Telegram e Steam. A Gen Digital alerta que o Torg Grabber continua a se desenvolver, com uma base de operadores em expansão e um potencial impacto significativo na segurança de dados dos usuários.

Um novo malware chamado ‘DarkSword’ foi identificado, afetando iPhones com versões antigas do iOS, especificamente entre 18.4 e 18.7. O software malicioso é instalado remotamente através de um link em um site comprometido, permitindo que hackers coletem dados sensíveis dos usuários. A descoberta do malware ocorreu após o vazamento de seu código-fonte no GitHub, o que gerou preocupações entre especialistas em segurança. Embora os dispositivos com iOS 26 estejam protegidos, há indícios de que o desenvolvedor do malware esteja tentando criar uma versão que ataque também as versões mais recentes do sistema operacional da Apple. A Apple já recomendou que os usuários atualizem seus dispositivos para a versão mais recente do iOS e lançou atualizações para iOS 15 e 16, visando proteger aparelhos mais antigos. A situação destaca a importância de manter os sistemas operacionais atualizados para evitar a exploração de vulnerabilidades.

O Departamento de Justiça dos EUA anunciou a condenação de Ilya Angelov, um cidadão russo de 40 anos, a dois anos de prisão e uma multa de $100.000 por gerenciar uma botnet utilizada em ataques de ransomware contra empresas americanas. Angelov, que operava sob os pseudônimos ‘milan’ e ‘okart’, co-gerenciou o grupo cibercriminoso TA551 entre 2017 e 2021. O grupo foi responsável por construir uma rede de computadores comprometidos através da distribuição de arquivos maliciosos anexados a e-mails de spam. Os ataques visavam revender o acesso a esses computadores para outros grupos criminosos, resultando em extorsões que ultrapassaram $14 milhões. A colaboração de Angelov com outros grupos, como o BitPaymer e o IcedID, destaca a complexidade e a sofisticação das operações de ransomware. O caso ressalta a crescente ameaça de cibercrime, especialmente para empresas que podem ser alvos de tais ataques, e a necessidade de medidas de segurança robustas.

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que agora utiliza um framework de múltiplas etapas para roubo de dados e instalação de um trojan de acesso remoto (RAT). Este malware se disfarça como uma extensão offline do Google Docs e é capaz de registrar teclas, capturar cookies, tokens de sessão e tirar screenshots. A campanha se infiltra em sistemas através de pacotes maliciosos publicados em repositórios como npm e PyPI, e compromete contas de mantenedores de projetos para disseminar atualizações contaminadas.

A Crunchyroll, plataforma de streaming de animes, está investigando uma possível violação de segurança que pode ter exposto dados pessoais de aproximadamente 6,8 milhões de usuários. Segundo informações do Bleeping Computer, um hacker alegou ter roubado 100 GB de dados, incluindo endereços de e-mail, nomes de login, endereços IP, localização geográfica e informações de suporte ao cliente. A empresa declarou estar ciente das alegações e está colaborando com especialistas em segurança cibernética para apurar os fatos. A suspeita inicial é de que a invasão esteja relacionada a um fornecedor terceirizado que presta serviços de atendimento ao cliente. A Crunchyroll tomou conhecimento da violação através de uma conta no X (antigo Twitter), que recebeu uma notificação do hacker, incluindo uma captura de tela como prova do acesso aos sistemas. O ataque pode ter sido facilitado por um malware instalado por um funcionário da Telus, parceira de suporte da Crunchyroll. A investigação ainda está em andamento e mais detalhes não foram divulgados até o momento.

Uma nova campanha de phishing está atacando ambientes corporativos francófonos, utilizando currículos falsos para implantar mineradores de criptomoedas e ferramentas de roubo de informações. Os pesquisadores da Securonix, Shikha Sangwan, Akshay Gaikwad e Aaron Beardslee, relataram que a campanha, chamada FAUX#ELEVATE, utiliza arquivos VBScript altamente ofuscados disfarçados como documentos de currículos, entregues por meio de e-mails de phishing. Ao serem executados, esses arquivos ativam um kit de ferramentas multifuncional que combina roubo de credenciais, exfiltração de dados e mineração de criptomoedas Monero. A campanha se destaca pelo uso de serviços legítimos, como Dropbox e sites WordPress, para hospedar e distribuir os payloads. O dropper inicial mostra uma mensagem de erro em francês, enganando os usuários e executando um código ofuscado que contorna mecanismos de defesa. Após obter privilégios administrativos, o malware desativa controles de segurança e realiza a exfiltração de dados através de contas de e-mail comprometidas. A rapidez da execução, que leva apenas 25 segundos do início ao fim da cadeia de infecção, e o foco em máquinas corporativas tornam essa ameaça particularmente perigosa para a segurança das empresas.

Uma campanha de malvertising em larga escala, ativa desde janeiro de 2026, está direcionada a indivíduos nos EUA que buscam documentos fiscais, utilizando anúncios fraudulentos para instalar o ConnectWise ScreenConnect. Essa instalação entrega uma ferramenta chamada HwAudKiller, que utiliza a técnica de ‘bring your own vulnerable driver’ (BYOVD) para desativar programas de segurança. A pesquisa da Huntress identificou mais de 60 sessões maliciosas do ScreenConnect ligadas a essa campanha. O ataque se destaca por empregar serviços de camuflagem comercial para evitar a detecção e por abusar de um driver de áudio da Huawei, que é legítimo e assinado, para desarmar soluções de segurança. Embora os objetivos exatos da campanha não sejam claros, há indícios de que o ator da ameaça busca implantar ransomware ou monetizar o acesso obtido. O ataque começa quando usuários clicam em resultados de busca patrocinados que os direcionam a sites falsos, onde o instalador do ScreenConnect é entregue. A complexidade da campanha, que combina ferramentas comerciais e técnicas sofisticadas, destaca a crescente acessibilidade de ataques cibernéticos avançados.

O grupo de ameaças TeamPCP comprometeu o pacote Python litellm, publicando versões maliciosas (1.82.7 e 1.82.8) que contêm um coletor de credenciais, um kit de ferramentas para movimentação lateral no Kubernetes e um backdoor persistente. As versões comprometidas foram removidas do PyPI após a descoberta por empresas de segurança como Endor Labs e JFrog. O ataque é descrito como uma operação em três etapas, começando com a coleta de chaves SSH, credenciais de nuvem e segredos do Kubernetes. O código malicioso é executado automaticamente quando o pacote é importado, e a versão 1.82.8 introduz um vetor mais agressivo que permite a execução em segundo plano. Os dados coletados são enviados para um domínio de comando e controle. A campanha do TeamPCP é uma escalada deliberada de ataques à cadeia de suprimentos, afetando várias ecossistemas, incluindo GitHub Actions e Docker Hub. Especialistas alertam que a situação pode se agravar, com o grupo se comprometendo a continuar suas atividades maliciosas. Usuários são aconselhados a auditar ambientes, isolar hosts afetados e reverter para versões limpas do pacote.

Pesquisadores de cibersegurança descobriram uma nova campanha maliciosa, chamada Ghost, que utiliza pacotes npm para roubar carteiras de criptomoedas e dados sensíveis. Os pacotes, publicados por um usuário identificado como ‘mikilanjillo’, incluem nomes como ‘react-performance-suite’ e ‘coinbase-desktop-sdk’. Esses pacotes enganam os usuários ao solicitar a senha sudo durante a instalação, enquanto ocultam suas verdadeiras intenções. O processo de instalação é disfarçado com logs falsos e atrasos aleatórios, criando a ilusão de que a instalação está em andamento. Ao inserir a senha, o malware é ativado, permitindo o download de um trojan de acesso remoto que coleta dados e aguarda instruções de um servidor externo. A campanha Ghost apresenta semelhanças com outra atividade chamada GhostClaw, que também utiliza repositórios do GitHub para disseminar malware, disfarçado como ferramentas legítimas. Ambas as campanhas destacam uma nova abordagem dos atacantes, que exploram ecossistemas confiáveis para introduzir código malicioso. A situação é preocupante, pois pode impactar desenvolvedores e empresas que utilizam essas bibliotecas, especialmente no Brasil, onde o uso de tecnologias como Node.js e npm é comum.

Recentemente, dois workflows do GitHub Actions, mantidos pela empresa de segurança da cadeia de suprimentos Checkmarx, foram comprometidos por um malware conhecido como ‘TeamPCP Cloud stealer’. Este ataque, que segue a violação do scanner de vulnerabilidades Trivy, permite que os atacantes roubem credenciais e segredos relacionados a serviços como AWS, Google Cloud e Azure. O malware foi identificado como parte de um ataque em cadeia, onde as credenciais roubadas são utilizadas para comprometer ações adicionais em repositórios afetados. O CVE associado ao ataque é o CVE-2026-33634, com uma pontuação CVSS de 9.4, indicando um risco crítico. Os atacantes utilizam técnicas de engano, como domínios semelhantes aos de fornecedores legítimos, para evitar a detecção. Além disso, o malware pode se instalar de forma persistente em sistemas não-CI, aumentando o risco de novos ataques. Para mitigar essa ameaça, recomenda-se a rotação imediata de segredos e tokens, auditoria de logs e monitoramento de conexões de rede suspeitas. A situação destaca a importância da segurança em ambientes de CI/CD e a necessidade de vigilância constante contra ameaças emergentes.

Os hackers do TeamPCP, responsáveis pelo ataque à cadeia de suprimentos Trivy, continuam a direcionar suas ações contra a Aqua Security, comprometendo sua organização no GitHub e publicando imagens Docker maliciosas. O ataque, que ocorreu após a violação do pipeline de construção do GitHub do Trivy, resultou na entrega de malware voltado para roubo de informações. O Trivy, amplamente utilizado para detectar vulnerabilidades e configurações inadequadas, teve suas versões 0.69.5 e 0.69.6 publicadas sem correspondência nas liberações do GitHub, levantando suspeitas de comprometimento. A Aqua Security, após identificar a violação, lançou novas versões seguras do Trivy e contratou uma empresa de resposta a incidentes para investigar a situação. Apesar de novas atividades suspeitas terem sido detectadas, a empresa afirma que o Trivy não foi impactado. A análise sugere que o acesso dos hackers se deu por meio de uma conta de serviço com um token de acesso pessoal, que não possui proteção de autenticação multifatorial. A situação destaca a importância da segurança na cadeia de suprimentos e a necessidade de vigilância contínua em ambientes de desenvolvimento.

O grupo de hackers TeamPCP está direcionando ataques a clusters Kubernetes com um script malicioso que apaga todos os dados de máquinas configuradas para o Irã. Este grupo é responsável por um recente ataque à cadeia de suprimentos no scanner de vulnerabilidades Trivy e por uma campanha baseada em NPM chamada ‘CanisterWorm’, que começou em 20 de março. A nova campanha utiliza o mesmo código de comando e controle (C2) e o mesmo caminho de instalação do backdoor que foram observados nos incidentes anteriores do CanisterWorm, mas com uma diferença significativa: um payload destrutivo que visa especificamente sistemas iranianos. O malware é projetado para destruir qualquer máquina que corresponda ao fuso horário e à localidade do Irã, independentemente da presença do Kubernetes. Em sistemas identificados como iranianos, o script apaga todos os diretórios principais do sistema, enquanto em outros locais, ele instala um backdoor. A Aikido, empresa de segurança de aplicações, destaca que a nova versão do malware também utiliza propagação via SSH, buscando credenciais válidas em logs de autenticação. Os pesquisadores identificaram indicadores de atividade maliciosa, como conexões SSH de saída com configurações específicas e conexões ao Docker API. Este cenário representa uma ameaça significativa, especialmente para organizações que operam em ambientes Kubernetes.

O grupo de ameaças da Coreia do Norte, conhecido como WaterPlum, está por trás da campanha Contagious Interview, que utiliza uma nova técnica de distribuição de malware chamada StoatWaffle. Essa técnica envolve o uso de projetos maliciosos do Microsoft Visual Studio Code (VS Code), especificamente através do arquivo ’tasks.json’, que ativa a execução do malware sempre que um arquivo na pasta do projeto é aberto. O malware verifica se o Node.js está instalado e, se não estiver, o baixa e instala. Em seguida, ele se conecta a um servidor externo para baixar um downloader que executa comandos maliciosos. O StoatWaffle possui dois módulos principais: um stealer que captura credenciais de navegadores e um trojan de acesso remoto (RAT) que permite o controle do sistema infectado. A campanha também inclui a distribuição de pacotes npm maliciosos e a inserção de código JavaScript em repositórios públicos do GitHub. Os atacantes utilizam processos de recrutamento falsos para enganar desenvolvedores, visando profissionais seniores em setores como criptomoedas. A Microsoft implementou medidas de mitigação para proteger os usuários do VS Code contra essa ameaça. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger sistemas de desenvolvimento.

O RPG gacha free-to-play Duet Night Abyss sofreu um ataque cibernético na última atualização, resultando na distribuição de um malware conhecido como Umbral Stealer. Este trojan é capaz de registrar teclas pressionadas, capturar imagens da webcam e roubar credenciais e criptomoedas dos jogadores. O incidente ocorreu no dia 18 de março de 2026, e a equipe do Pan Studio, responsável pelo jogo, agiu rapidamente para corrigir a vulnerabilidade, lançando uma atualização duas horas e meia após a infecção. O malware, que é uma versão antiga de 2023, foi automaticamente detectado e isolado por muitos antivírus. Como forma de compensação, a desenvolvedora ofereceu aos jogadores lootboxes, que incluem recompensas dentro do jogo. A equipe também se comprometeu a revisar a segurança do título e pediu paciência aos usuários enquanto implementam melhorias. Este incidente destaca a importância da segurança em jogos online, especialmente em plataformas populares como a Steam.

A Microsoft emitiu um alerta sobre novas campanhas de phishing que estão explorando a temporada de impostos nos Estados Unidos para roubar credenciais e disseminar malware. Os ataques se disfarçam como notificações de reembolso, formulários de folha de pagamento e lembretes de declaração, visando tanto indivíduos quanto profissionais contábeis que lidam com dados financeiros sensíveis. As campanhas utilizam plataformas de Phishing-as-a-Service (PhaaS) para criar páginas falsas que imitam o login do Microsoft 365, além de empregar QR codes e links maliciosos. Uma campanha em larga escala afetou mais de 29.000 usuários em 10.000 organizações, com 95% dos alvos localizados nos EUA. Os e-mails fraudulentos, que se passavam pelo IRS, instruíam os destinatários a baixar um suposto ‘Visualizador de Transcrições do IRS’, levando a um site malicioso que instalava ferramentas de acesso remoto como ScreenConnect. Para se proteger, as organizações devem implementar autenticação de dois fatores (2FA), monitorar e escanear e-mails recebidos e bloquear acessos a domínios maliciosos.

O cenário da cibersegurança continua alarmante, com sistemas considerados seguros sendo comprometidos de maneiras simples. Recentemente, o scanner de vulnerabilidades Trivy foi alvo de um ataque que injetou malware em suas versões oficiais, resultando na propagação de um worm autônomo chamado CanisterWorm. Além disso, uma operação do Departamento de Justiça dos EUA desmantelou botnets de IoT responsáveis por alguns dos maiores ataques DDoS, que afetaram dispositivos como câmeras IP e roteadores com credenciais fracas. Em outra frente, uma falha crítica no software Cisco FMC foi explorada por um ransomware, permitindo que atacantes executassem código malicioso remotamente. A velocidade com que as vulnerabilidades são exploradas está aumentando, como evidenciado por uma falha no Langflow que foi atacada apenas 20 horas após sua divulgação. O novo fluxo avançado de instalação de aplicativos no Android também foi introduzido para combater fraudes e malware, adicionando etapas de verificação. O artigo destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e atualizem suas defesas para mitigar esses riscos.

O FBI dos EUA emitiu um alerta sobre hackers iranianos associados ao Ministério da Inteligência e Segurança do Irã, que estão utilizando o Telegram como infraestrutura de comando e controle em ataques de malware. Esses ataques visam jornalistas críticos ao governo iraniano, dissidentes e grupos opositores em todo o mundo. O FBI relacionou essas atividades ao grupo hacktivista Handala e ao grupo de ameaças Homeland Justice, ambos apoiados pelo estado iraniano. Os hackers empregam engenharia social para infectar dispositivos com malware para Windows, permitindo a exfiltração de capturas de tela e arquivos de computadores comprometidos. O alerta foi emitido em um contexto de tensão geopolítica no Oriente Médio e destaca a necessidade de conscientização sobre as atividades cibernéticas maliciosas iranianas. O FBI também confiscou quatro domínios utilizados por esses grupos para vazar documentos sensíveis. Além disso, o FBI advertiu sobre campanhas de phishing direcionadas a usuários do Signal e WhatsApp por atores ligados à inteligência russa, que já comprometeram milhares de contas. Essas ameaças ressaltam a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância contínua.

Pesquisadores de cibersegurança descobriram artefatos maliciosos distribuídos via Docker Hub após um ataque à cadeia de suprimentos do Trivy, um popular scanner de vulnerabilidades de código aberto mantido pela Aqua Security. As versões comprometidas 0.69.4, 0.69.5 e 0.69.6 foram removidas do repositório, sendo que a última versão limpa conhecida é a 0.69.3. O ataque permitiu que os invasores utilizassem credenciais comprometidas para inserir um ladrão de credenciais em versões trojanizadas do Trivy e em duas ações do GitHub relacionadas. Além disso, os atacantes conseguiram comprometer pacotes npm, distribuindo um worm autossustentável chamado CanisterWorm. O grupo responsável, identificado como TeamPCP, também defaceou repositórios internos da Aqua Security no GitHub, expondo-os publicamente. A análise forense sugere que um token de conta de serviço comprometido foi o vetor do ataque. A crescente sofisticação dos atacantes é evidenciada pela introdução de um novo malware que apaga clusters Kubernetes, especialmente em sistemas iranianos. Diante da gravidade do incidente, é crucial que as organizações revisem o uso do Trivy em seus pipelines de CI/CD e evitem as versões afetadas.

O VoidStealer é um novo infostealer que utiliza uma abordagem inovadora para contornar a Application-Bound Encryption (ABE) do Google Chrome, permitindo a extração da chave mestra necessária para decifrar dados sensíveis armazenados no navegador. Essa técnica, que se baseia em breakpoints de hardware, permite que o malware acesse diretamente a memória do navegador sem necessidade de elevação de privilégios ou injeção de código. O ABE foi introduzido na versão 127 do Chrome, em junho de 2024, como uma proteção para cookies e dados sensíveis, mas já foi burlado por diversas famílias de malware. O VoidStealer, que opera como uma plataforma de malware como serviço (MaaS) desde dezembro de 2025, é o primeiro a adotar essa técnica de bypass em um ambiente real. O ataque ocorre durante a inicialização do navegador, quando a chave mestra é temporariamente acessível em texto claro. Embora a técnica tenha sido inspirada em um projeto de código aberto, sua implementação no VoidStealer representa um avanço significativo na capacidade de roubo de dados. A situação é preocupante, pois o malware pode afetar uma ampla gama de usuários do Chrome, exigindo atenção redobrada das equipes de segurança.

O scanner de vulnerabilidades Trivy, amplamente utilizado por desenvolvedores e equipes de segurança, foi alvo de um ataque supply-chain realizado pelo grupo de ameaças conhecido como TeamPCP. O ataque resultou na distribuição de malware que rouba credenciais através de versões oficiais e ações do GitHub. A vulnerabilidade foi inicialmente divulgada pelo pesquisador de segurança Paul McCarty, que alertou sobre a versão 0.69.4 do Trivy, que havia sido comprometida. Análises posteriores revelaram que quase todas as tags do repositório trivy-action no GitHub foram afetadas, permitindo que o código malicioso fosse executado automaticamente em fluxos de trabalho externos. Os atacantes conseguiram comprometer o processo de construção do GitHub, substituindo scripts legítimos por versões maliciosas. O malware coletou dados sensíveis, incluindo chaves SSH, credenciais de nuvem e arquivos de configuração, armazenando-os em um arquivo que era enviado para um servidor de comando e controle. O ataque, que durou cerca de 12 horas, expôs a necessidade urgente de as organizações que utilizaram as versões afetadas tratarem seus ambientes como totalmente comprometidos, rotacionando todas as credenciais e analisando sistemas para possíveis compromissos.

Os roteadores, muitas vezes negligenciados pelos usuários, são alvos preferenciais para hackers devido à sua posição central na rede doméstica. Ao comprometer um roteador, os cibercriminosos podem monitorar e manipular todo o tráfego de dados que passa por ele, sem a necessidade de invadir cada dispositivo individualmente. Um exemplo recente é o malware DKnife, que opera silenciosamente desde 2019, permitindo que hackers interceptem conexões e redirecionem usuários para sites falsos, como páginas de bancos, onde podem roubar credenciais. Além disso, o malware pode substituir downloads legítimos por versões infectadas, aumentando ainda mais o risco. A falta de proteção nos roteadores, que não possuem antivírus ou alertas visíveis, torna essa vulnerabilidade ainda mais crítica. Para proteger sua rede, é essencial que os usuários atualizem regularmente o firmware do roteador, alterem senhas padrão e utilizem firewalls adequados. A segurança da rede depende da proteção do elo mais fraco, que neste caso é o roteador.

O Google anunciou uma nova funcionalidade chamada Advanced Flow, que permitirá a instalação de APKs de desenvolvedores não verificados de forma mais segura no Android. Programada para ser lançada em agosto, essa nova abordagem visa minimizar os riscos de infecções por malware e fraudes, que causaram perdas estimadas em US$ 442 bilhões no último ano, segundo a Global Anti-Scam Alliance (GASA). Para instalar aplicativos de desenvolvedores não verificados, os usuários precisarão passar por um processo único que inclui ativar o Modo Desenvolvedor, confirmar que não estão sendo orientados por agentes maliciosos, reiniciar o dispositivo e reautenticar. Após um dia, eles devem confirmar a legitimidade das modificações. O sistema foi projetado para dificultar táticas de golpe que exploram a urgência, evitando que os usuários instalem software malicioso sob pressão. O Google também está implementando um sistema de verificação de identidade para todos os desenvolvedores de aplicativos Android, que entrará em vigor em agosto de 2026. Essa medida é uma resposta à crescente sofisticação do malware e à necessidade de proteger os usuários em um ambiente digital cada vez mais arriscado.

Um ataque à cadeia de suprimentos visando o popular scanner Trivy resultou na infecção de diversos pacotes npm por um novo malware chamado CanisterWorm. Este worm se propaga automaticamente e utiliza um canister da Internet Computer blockchain como ponto de controle. O ataque foi atribuído ao grupo criminoso TeamPCP, que publicou versões maliciosas do Trivy contendo um ladrão de credenciais. A infecção ocorre através de um hook postinstall que executa um loader, instalando um backdoor em Python que se conecta ao canister para buscar novos payloads. O malware é projetado para ser resiliente, utilizando um serviço systemd que reinicia automaticamente o backdoor. Além disso, uma nova variante do CanisterWorm foi identificada, que se propaga sem intervenção manual, coletando tokens npm do ambiente do desenvolvedor. A situação é crítica, pois cada desenvolvedor que instala pacotes infectados pode se tornar um vetor de propagação, ampliando o alcance do ataque. Este incidente destaca a vulnerabilidade dos sistemas de gerenciamento de pacotes e a necessidade urgente de medidas de segurança mais robustas.

O Trivy, um scanner de vulnerabilidades de código aberto mantido pela Aqua Security, sofreu sua segunda violação em um mês, resultando na entrega de malware que rouba segredos sensíveis de CI/CD. O incidente mais recente afetou as ações do GitHub ‘aquasecurity/trivy-action’ e ‘aquasecurity/setup-trivy’, utilizadas para escanear imagens de contêiner Docker e configurar fluxos de trabalho no GitHub. Um atacante forçou a modificação de 75 das 76 tags de versão no repositório ‘aquasecurity/trivy-action’, transformando referências de versões confiáveis em um mecanismo de distribuição para um infostealer. O malware, que opera em três etapas, busca extrair segredos valiosos de ambientes de CI/CD, como chaves SSH e credenciais de provedores de serviços em nuvem. O ataque é atribuído a um grupo conhecido como TeamPCP, que se especializa em roubo de dados na nuvem. Os usuários são aconselhados a usar versões seguras e a tratar todos os segredos de pipeline como comprometidos se estiverem usando versões afetadas. Medidas de mitigação incluem bloquear o domínio de exfiltração e monitorar contas do GitHub em busca de repositórios suspeitos.

A Inteligência Artificial (IA) está transformando a forma como indivíduos e organizações enfrentam ameaças cibernéticas, especialmente no que diz respeito a ataques de phishing e malware. Os cibercriminosos estão utilizando IA para criar e-mails de phishing personalizados e deepfakes, além de desenvolver malware que consegue evitar a detecção tradicional, imitando comportamentos normais de usuários. Isso torna os modelos de segurança baseados em regras insuficientes para proteger identidades contra essas ameaças habilitadas por IA. Os ataques baseados em IA introduzem riscos distintos, como phishing automatizado e abuso de credenciais, que se adaptam para evitar detecções. Para enfrentar esses desafios, as análises comportamentais precisam evoluir, passando de um monitoramento simples para um modelo de risco dinâmico e baseado em identidade, capaz de identificar inconsistências em tempo real. A segurança deve se estender por toda a infraestrutura, adotando um modelo de segurança de confiança zero, onde nenhum usuário ou dispositivo é automaticamente confiável. Além disso, a proteção de identidades deve incluir análises comportamentais contínuas e controles de acesso granulares, especialmente em ambientes híbridos e multi-nuvem.

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

A Apple está alertando os usuários sobre a necessidade de atualizar seus dispositivos iOS para evitar ataques cibernéticos que utilizam kits de exploração como Coruna e DarkSword. Esses kits aproveitam vulnerabilidades em versões desatualizadas do sistema operacional para roubar dados sensíveis. A empresa recomenda que os usuários que ainda estão em versões antigas do iOS atualizem para iOS 15.8.7 ou iOS 16.7.15, dependendo da compatibilidade do dispositivo. Para aqueles que não podem atualizar, a Apple sugere ativar o Modo de Bloqueio para reduzir a superfície de ataque. A empresa enfatiza que manter o software atualizado é crucial para a segurança dos produtos Apple, já que dispositivos com software atualizado não estão em risco desses ataques. Recentemente, foram relatados dois exploits do iOS que estão sendo utilizados por diversos atores de ameaças para roubar dados, o que indica uma escalada na exploração de vulnerabilidades do iOS, antes focadas em ataques direcionados por estados-nação. A facilidade de uso desses exploits e sua disponibilidade no mercado secundário aumentam o risco de ataques em larga escala, tornando a segurança móvel uma preocupação crítica para empresas.

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

Uma nova análise sobre ferramentas de detecção e resposta em endpoints (EDR) revelou que 54 delas utilizam a técnica conhecida como ’traga seu próprio driver vulnerável’ (BYOVD), explorando um total de 34 drivers vulneráveis. Esses programas, comumente usados em intrusões de ransomware, permitem que os atacantes neutralizem softwares de segurança antes de implantar malware de criptografia de arquivos. A pesquisa da ESET destaca que grupos de ransomware frequentemente produzem novas versões de seus criptografadores, tornando a detecção um desafio, já que esses malwares são intrinsecamente barulhentos. Os EDR killers atuam como componentes externos que desativam controles de segurança, facilitando a execução do ransomware. A maioria dessas ferramentas se aproveita de drivers legítimos, mas vulneráveis, para obter privilégios elevados e desativar processos de segurança. A análise também identificou ferramentas baseadas em scripts e utilitários anti-rootkits que podem interferir no funcionamento normal dos produtos de segurança. Para mitigar esses riscos, é essencial que as organizações implementem defesas em camadas e estratégias de detecção para monitorar e responder proativamente a essas ameaças.

Pesquisadores de cibersegurança identificaram um novo malware chamado Speagle, que se infiltra em sistemas que utilizam o software legítimo Cobra DocGuard, uma plataforma de segurança e criptografia de documentos. O Speagle tem como objetivo coletar informações sensíveis dos computadores infectados e enviá-las para um servidor comprometido do Cobra DocGuard, disfarçando a exfiltração de dados como comunicações legítimas. Este malware é notável por seu direcionamento específico, visando apenas sistemas com o Cobra DocGuard instalado, o que sugere uma intenção deliberada de espionagem industrial ou coleta de inteligência. O Speagle é rastreado sob o nome Runningcrab e, até o momento, não foi atribuído a nenhum ator específico, embora as investigações indiquem que pode ser obra de um agente patrocinado por um estado ou de um contratado privado. A forma de entrega do malware ainda é desconhecida, mas suspeita-se que tenha ocorrido por meio de um ataque à cadeia de suprimentos. O malware utiliza a infraestrutura do Cobra DocGuard para ocultar suas atividades maliciosas e se autoexcluir após a execução. Além disso, uma variante do Speagle possui funcionalidades adicionais para ativar ou desativar a coleta de dados e busca por arquivos relacionados a mísseis balísticos chineses. Essa nova ameaça representa um risco significativo para organizações que utilizam o Cobra DocGuard, exigindo atenção especial dos profissionais de segurança da informação.

Pesquisadores de cibersegurança revelaram uma nova família de malware Android, chamada Perseus, que está sendo ativamente distribuída com o objetivo de realizar a tomada de controle de dispositivos (DTO) e fraudes financeiras. Baseado nas fundações de Cerberus e Phoenix, o Perseus se apresenta como uma plataforma mais flexível e capaz de comprometer dispositivos Android por meio de aplicativos dropper distribuídos em sites de phishing. O malware utiliza sessões remotas baseadas em acessibilidade, permitindo monitoramento em tempo real e interação precisa com dispositivos infectados, com foco em regiões como Turquia e Itália.

O boletim ThreatsDay desta semana destaca uma série de ameaças emergentes em cibersegurança, com foco em operações de Ransomware-as-a-Service (RaaS) e campanhas de phishing. O grupo ‘The Gentlemen’ utiliza uma vulnerabilidade crítica (CVE-2024-55591) em dispositivos FortiGate para realizar ataques, mantendo um banco de dados com 14.700 dispositivos comprometidos. Além disso, falhas no BMC FootPrints podem permitir execução remota de código, enquanto o malware SnappyClient, entregue pelo Hijack Loader, é projetado para roubo de dados e evasão de segurança. Outra técnica emergente, chamada CursorJack, explora links profundos para execução de comandos maliciosos. A campanha de phishing via Microsoft Teams tem aumentado, com atacantes se passando por equipes de TI para obter acesso remoto. A situação é preocupante, pois a exploração de falhas conhecidas em plataformas amplamente utilizadas, como Citrix, e o uso de engenharia social em ferramentas de comunicação, revelam a necessidade urgente de medidas de segurança mais robustas.

A empresa de cibersegurança Acronis TRU revelou que cibercriminosos estão utilizando cheats gratuitos como isca para disseminar malwares entre jogadores. Esses malwares, disfarçados de trapaças, são encontrados em centenas de repositórios no GitHub e empregam técnicas de esteganografia para ocultar vírus, dificultando sua detecção por antivírus. O infostealer Vidar Stealer 2.0, uma versão aprimorada de um malware anterior, é capaz de roubar credenciais de navegadores, cookies, dados de autenticação, carteiras de criptomoedas e senhas de plataformas como Telegram e Discord. O malware é disseminado em um ambiente propício, onde usuários, muitas vezes jovens e inexperientes, buscam trapaças em sites não oficiais. O Vidar 2.0 opera na modalidade malware-as-a-service (MaaS), com preços que variam de R$ 670 a R$ 3.900, e tem se mostrado mais difícil de detectar devido a suas múltiplas camadas de execução. Para se proteger, é essencial que os usuários mantenham seus sistemas atualizados e evitem baixar softwares de fontes não confiáveis.

Um novo malware para Android, chamado Perseus, está se espalhando por lojas não oficiais disfarçado como aplicativos de IPTV. Ele tem como alvo informações sensíveis armazenadas em notas pessoais, como senhas e dados financeiros. O malware permite o controle total do dispositivo, captura de telas e ataques de sobreposição. A ameaça se aproveita da familiaridade dos usuários com a instalação de APKs fora da Google Play Store, especialmente em busca de transmissões esportivas gratuitas. Pesquisadores da ThreatFabric identificaram que o Perseus foca principalmente em instituições financeiras na Turquia e na Itália, além de serviços de criptomoedas. O malware utiliza serviços de acessibilidade do Android para abrir e escanear aplicativos de notas, como Google Keep e Evernote, em busca de dados valiosos. O Perseus também realiza verificações extensivas para evitar detecção antes de executar suas atividades maliciosas. Para se proteger, os usuários devem evitar a instalação de aplicativos de fontes duvidosas e garantir que o Play Protect esteja ativo.

O Departamento do Tesouro dos EUA sancionou seis indivíduos e duas entidades por envolvimento em um esquema de trabalhadores de TI da Coreia do Norte (DPRK) que visa fraudar empresas americanas e gerar receita ilícita para o regime, financiando programas de armas de destruição em massa. O esquema, conhecido como Coral Sleet/Jasper Sleet, utiliza documentação falsa, identidades roubadas e personas fabricadas para disfarçar a origem dos trabalhadores de TI, que conseguem empregos legítimos nos EUA e em outros lugares. Parte dos salários é desviada para a Coreia do Norte, em violação a sanções internacionais. Além disso, o uso de malware para roubar informações sensíveis e extorquir empresas é uma prática comum. A operação se beneficia de serviços de VPN, como o Astrill, para ocultar a localização real dos operativos, que frequentemente atuam da China. A inteligência artificial é utilizada para criar identidades falsas e facilitar a infiltração em empresas, destacando a evolução das técnicas de engenharia social. O esquema é uma parte integral da máquina de geração de receita e evasão de sanções da DPRK, com implicações significativas para a segurança cibernética global.

O golpe do CAPTCHA falso é uma técnica de engenharia social que visa enganar usuários na internet, fazendo-os acreditar que estão interagindo com um sistema legítimo de verificação. Este tipo de golpe se aproveita da familiaridade dos internautas com CAPTCHAs, que são usados para confirmar que o usuário não é um robô. Os criminosos criam uma interface que imita provedores conhecidos, como Cloudflare e reCAPTCHA, e induzem as vítimas a realizar ações perigosas, como baixar malware ou fornecer informações pessoais. Os sinais de alerta incluem CAPTCHAs que solicitam ações incomuns, como abrir janelas do sistema ou instalar extensões desconhecidas. Para se proteger, os usuários devem desconectar-se da internet imediatamente após suspeitar de um golpe, rodar verificações de segurança e alterar senhas em dispositivos limpos. A conscientização sobre esses golpes é crucial, pois a engenharia social é uma das táticas mais eficazes utilizadas por cibercriminosos.

O malware BlackSanta, que se disfarça em imagens, está se tornando uma ameaça crescente para empresas, especialmente durante processos de recrutamento. Ele utiliza táticas sofisticadas para se infiltrar nos sistemas, aproveitando a pressa dos profissionais de Recursos Humanos que frequentemente baixam currículos de fontes não confiáveis. O ataque começa com o envio de um arquivo ISO que, ao ser aberto, executa um arquivo de atalho que ativa um script PowerShell oculto. Esse script extrai payloads maliciosos escondidos em imagens, permitindo que o malware opere diretamente na memória do computador, dificultando sua detecção. Uma vez instalado, o BlackSanta se conecta a um servidor de comando via HTTPS, permitindo que os hackers roubem dados sensíveis e criptomoedas. O malware é notório por desativar defesas de segurança, incluindo EDRs, o que o torna ainda mais perigoso. Especialistas da Aryaka alertam que as empresas devem tratar os fluxos de trabalho do RH com a mesma seriedade que setores financeiros e de TI, dada a vulnerabilidade a ataques como o do BlackSanta.

Nos últimos meses, uma investigação do FBI revelou que alguns jogos na plataforma Steam foram criados com o objetivo de infectar jogadores com malwares. A divisão de Seattle do FBI está buscando vítimas desses jogos, que incluem títulos como BlockBlasters, Chemia e Piratefy, entre outros. Os jogos foram identificados como parte de uma operação maliciosa, possivelmente realizada por um único hacker ou um grupo específico. O FBI convoca jogadores que baixaram esses jogos entre maio de 2024 e janeiro de 2026 a preencher um formulário para ajudar na investigação, garantindo a confidencialidade das informações. Um caso notável envolveu o jogador RastalandTV, que perdeu R$ 167 mil após baixar um dos jogos maliciosos. Além disso, a marca Steam tem sido alvo de ataques de phishing e engenharia social, sendo a mais imitada para golpes no primeiro semestre de 2025. A situação destaca a importância da vigilância e proteção contra ameaças cibernéticas no ambiente de jogos online.

Uma nova campanha de ciberespionagem, possivelmente orquestrada por atores de ameaça ligados à Rússia, tem como alvo entidades ucranianas, conforme relatado pela equipe de inteligência de ameaças LAB52 do S2 Grupo. Observada em fevereiro de 2026, a campanha apresenta semelhanças com uma anterior realizada pelo grupo Laundry Bear, que visava forças de defesa ucranianas utilizando a família de malware PLUGGYAPE. Os ataques utilizam iscas temáticas de caridade e judiciais para implantar um backdoor baseado em JavaScript, denominado DRILLAPP, que opera através do navegador Edge. O malware permite o upload e download de arquivos, além de acessar o microfone e a câmera do dispositivo. Duas versões da campanha foram identificadas: a primeira utiliza arquivos de atalho do Windows para carregar um script remoto, enquanto a segunda, detectada no final de fevereiro, substitui esses arquivos por módulos do Painel de Controle do Windows. A campanha destaca o uso inovador do navegador para implantar um backdoor, sugerindo que os atacantes estão buscando novas formas de evitar a detecção. Essa abordagem é preocupante, pois o navegador é um processo comum e geralmente não suspeito, permitindo acesso a recursos sensíveis sem alertar os usuários.