Malware

Extensão do Chrome permite execução de JavaScript arbitrário

Uma análise de segurança revelou que a popular extensão Adblock for YouTube, com mais de 10 milhões de instalações, possui a capacidade de executar código JavaScript arbitrário. Embora a extensão cumpra sua função de bloquear anúncios no YouTube, ela também apresenta riscos significativos de privacidade e segurança. Pesquisadores alertaram que essa vulnerabilidade pode permitir a leitura de páginas, roubo de dados e acesso a contas pessoais e aplicativos de trabalho. A extensão, que está disponível desde 2014, passou por mudanças de propriedade e já teve um kit de desenvolvimento de software para injeção de anúncios, o que levanta preocupações adicionais. A ativação da execução de código malicioso pode ser feita por uma simples alteração na configuração do servidor, sem necessidade de atualização da extensão ou revisão pela loja. Apesar de não haver evidências de que essa capacidade tenha sido explorada até agora, a combinação de permissões extensivas e a possibilidade de injeção de scripts tornam a situação alarmante. A análise também destaca que a extensão opera em todos os sites visitados, não apenas no YouTube, o que aumenta o risco de exposição a ataques. O alerta é um chamado à ação para que usuários e profissionais de segurança revisem as permissões de suas extensões e considerem alternativas mais seguras.

Malware Rust para macOS engana ferramentas de IA de análise

Um novo malware baseado em Rust, denominado Gaslight, foi descoberto como um implante e ladrão de informações para macOS. Este malware possui um recurso notável: um payload de injeção de prompt que engana ferramentas de inteligência artificial (IA) utilizadas por analistas de segurança, fazendo com que elas interrompam ou recusem a análise do artefato. Gaslight é atribuído a atores de ameaças alinhados à Coreia do Norte. O malware utiliza um canal de comando e controle (C2) baseado na API do Telegram, permitindo que o operador emita comandos e receba resultados. Entre os comandos disponíveis, destacam-se a execução de comandos de shell e a exfiltração de arquivos. Além disso, Gaslight incorpora um script Python codificado em Base64 que coleta dados sensíveis do sistema, como históricos de comandos do Terminal e informações do Keychain do macOS. O malware se destaca por não codificar informações sensíveis, como tokens do bot do Telegram, mas sim fornecê-las em tempo de execução, dificultando a captura de logs. A presença de mensagens de erro fabricadas visa confundir agentes de segurança, tornando a detecção mais difícil. Essa nova ameaça representa um risco significativo para usuários de macOS, especialmente em ambientes corporativos.

Extensão maliciosa do Microsoft Edge é usada em ataque de ransomware

Uma extensão maliciosa do Microsoft Edge, chamada ‘Edgecution’, foi utilizada em um ataque de ransomware que consegue escapar da sandbox do navegador e implantar um backdoor baseado em Python. O acesso ao sistema local é obtido através do protocolo de Mensageria Nativa do Chrome, que permite que extensões do navegador interajam com aplicativos nativos do desktop. O ataque começa com o invasor se passando por um funcionário de suporte técnico no Microsoft Teams, direcionando os empregados a uma página fraudulenta sob a alegação de instalar uma atualização de filtro de spam. Pesquisadores da Zscaler acreditam que o Edgecution é implantado por um corretor de acesso inicial (IAB) ligado à operação de ransomware Payouts Kings. Os componentes maliciosos são baixados de um site falso da Microsoft, disfarçados como uma atualização, e incluem uma extensão maliciosa que se conecta ao servidor de comando e controle do invasor. A extensão opera em um navegador Edge sem interface, utilizando o protocolo de Mensageria Nativa para se comunicar com um aplicativo local. O backdoor em Python permite ao invasor executar comandos no sistema, coletar informações e manter a persistência na máquina comprometida. A Zscaler recomenda que as organizações reforcem a supervisão das extensões do navegador e implementem controles rigorosos sobre as configurações de mensageria nativa para mitigar riscos.

Microsoft e Europol desmantelam operações de malware Amadey e StealC

A Microsoft, em colaboração com a Europol e parceiros internacionais, desmantelou a infraestrutura utilizada pelas operações de malware Amadey e StealC durante a Operação Endgame. Essa ação conjunta envolveu autoridades de vários países e resultou na interrupção de 326 servidores e 142 domínios associados a essas famílias de malware. Além disso, foram identificados mais de €41 milhões (cerca de $47 milhões) em criptomoedas ligadas a atividades criminosas e a recuperação de aproximadamente 27 milhões de credenciais roubadas de mais de 385 mil sistemas comprometidos. A operação também focou no malware SocGholish, que infecta usuários por meio de sites comprometidos que exibem falsos avisos de atualização de navegador. A Amadey é utilizada para obter acesso inicial a dispositivos, enquanto o StealC é responsável pelo roubo de credenciais e informações sensíveis. A ação foi coordenada por agências de segurança de países como Canadá, Alemanha e Estados Unidos, com o suporte de empresas de segurança cibernética como Microsoft, ESET e IBM X-Force. Apesar do sucesso da operação, a Europol alerta que, sem prisões, os criminosos podem rapidamente reconstruir suas infraestruturas para novos ataques.

Operação conjunta desmantela infraestrutura de cibercrime na Europa e EUA

Uma operação coordenada de aplicação da lei, em parceria com empresas do setor privado como Bitdefender, ESET e Microsoft, resultou na desarticulação de infraestruturas criminosas associadas aos malwares Amadey e StealC. O objetivo principal foi interromper as ’linhas de montagem’ utilizadas por cibercriminosos para lançar ataques de ransomware e fraudes financeiras. Durante a ação, que durou duas semanas, foram identificados e restritos ativos de criptomoeda de origem criminosa avaliados em mais de 47 milhões de dólares, além da recuperação de 27 milhões de credenciais de login roubadas. A operação também desmantelou 326 servidores e 142 domínios relacionados a essas ameaças. O malware Amadey, ativo desde 2018, é um loader que facilita a introdução de outros malwares, enquanto o StealC, que surgiu em 2023, é um infostealer que coleta informações sensíveis de usuários. A colaboração entre o setor público e privado foi destacada como fundamental para o sucesso da operação, que representa um passo significativo na luta contra o cibercrime em escala global.

Novo backdoor Mistic ataca setores financeiros e educacionais

Um novo backdoor chamado Mistic foi identificado em ataques cibernéticos motivados financeiramente, visando organizações nos setores de seguros, educação, TI e serviços profissionais. Acredita-se que o malware esteja vinculado ao grupo KongTuke/Woodgnat, ativo desde 2024, que se especializa em comprometer redes corporativas e vender acesso a grupos de ransomware. Pesquisadores da Symantec relataram que o Mistic tem sido utilizado em intrusões desde abril de 2024. O ataque começa com a execução de um arquivo legítimo, MpExtMs.exe, que carrega uma DLL maliciosa, version.dll, que por sua vez carrega o Mistic. Este malware é projetado para operar de forma furtiva, permitindo que os atacantes mantenham um acesso persistente nas redes comprometidas. Entre suas capacidades estão a manipulação de arquivos, execução de código na memória e a possibilidade de se autodestruir. A análise sugere que o Mistic é uma ferramenta customizada, refletindo uma tendência crescente de uso de ferramentas específicas em ataques de ransomware. As empresas devem estar atentas a essa nova ameaça e considerar a implementação de medidas de segurança robustas para proteger suas redes.

Campanha ClickFix instala malware em macOS via comandos do Terminal

Uma nova campanha de cibersegurança, chamada ClickFix, está utilizando comandos do Terminal para baixar, montar e executar silenciosamente malware que rouba informações de dispositivos macOS. O malware em questão é o Atomic macOS Stealer (AMOS), que tem como alvo credenciais de navegadores, dados de carteiras de criptomoedas, informações do Keychain, dados de aplicativos de mensagens e documentos do usuário. A campanha foi descoberta pela Palo Alto Networks e começa com uma página falsa de CAPTCHA que induz os usuários a abrir o Terminal e colar um comando malicioso. Esse comando baixa um arquivo DMG de um servidor controlado pelo atacante, monta-o silenciosamente e executa automaticamente o aplicativo malicioso contido nele. O AMOS é projetado para roubar dados de vários navegadores baseados em Chromium e Firefox, além de informações de carteiras de criptomoedas e dados de aplicativos como Telegram e Discord. Os dados coletados são armazenados em um arquivo ZIP e enviados para o servidor do atacante. Os especialistas alertam que os usuários devem ser cautelosos ao executar comandos do Terminal, especialmente quando solicitados por páginas da web.

Pacotes maliciosos no npm entregam trojan de acesso remoto

Pesquisadores de cibersegurança descobriram uma série de pacotes npm maliciosos que têm como objetivo entregar um trojan de acesso remoto (RAT) baseado em Windows. Os pacotes identificados, publicados por um usuário chamado ‘abdrizak’, incluem ‘aes-decode-runner-pro’, ‘postcss-minify-selector’ e ‘postcss-minify-selector-parser’. Apesar de parecerem pacotes legítimos, todos eles contêm um dropper em JavaScript que escreve e executa um script PowerShell, o qual baixa um payload adicional de um servidor externo. Esse payload inclui um arquivo de script Visual Basic e um runtime Python, que juntos permitem que o RAT colete informações do host, roube credenciais do Google Chrome e execute comandos shell. A análise ressalta a importância de tratar dependências que se assemelham a ferramentas de construção legítimas como potenciais vetores de ataque. Além disso, outras campanhas maliciosas foram relatadas, incluindo pacotes que visam roubar credenciais de desenvolvedores e implantar RATs em sistemas Linux. Os usuários que instalaram esses pacotes devem removê-los imediatamente e rotacionar suas credenciais.

Campanha de malware via WhatsApp usa VBScript para acesso remoto

Uma nova campanha de malware está sendo disseminada através de mensagens diretas no WhatsApp, visando usuários do WhatsApp Desktop e WhatsApp Web em diversos países, incluindo Brasil, Malásia e Índia. De acordo com a Kaspersky, os atacantes utilizam arquivos de script Visual Basic (VBScript) disfarçados como documentos financeiros e empresariais para enganar os destinatários a baixá-los e executá-los. Uma vez executado, o VBScript inicia uma cadeia de infecção que resulta na instalação de software legítimo de Monitoramento e Gerenciamento Remoto (RMM), permitindo acesso remoto ao sistema da vítima. Os arquivos maliciosos são nomeados de maneira enganosa, como “Relatórios Financeiros.vbs” e “Extrato de Conta.vbs”, e contêm comentários e metadados que imitam componentes legítimos do Windows. A Kaspersky alerta que os usuários devem ter cautela ao receber anexos inesperados, mesmo que pareçam vir de contatos conhecidos, e recomenda não abrir arquivos de tipos como VBS, EXE e JS sem verificação prévia de sua legitimidade.

Campanha de malware ataca usuários do WhatsApp em diversos países

Uma campanha de malware em andamento está visando usuários do WhatsApp em vários países, enviando mensagens enganosas que promovem arquivos VBScript, resultando em acesso remoto aos sistemas das vítimas. Os atacantes utilizam nomes de arquivos que sugerem documentos financeiros e empresariais, supostamente enviados por contatos cujas contas foram comprometidas. Ao baixar e executar os anexos maliciosos, a vítima inicia uma cadeia de infecção que culmina na instalação do ManageEngine Endpoint Central, uma ferramenta legítima usada por administradores de TI para gerenciar sistemas. Dados de telemetria da Kaspersky indicam que a campanha se espalha por países como Brasil, Índia, México, Reino Unido e outros. Os ataques começam com mensagens de contas comprometidas contendo arquivos VBS ofuscados, que, ao serem abertos, baixam scripts adicionais que desativam proteções do sistema e instalam o software malicioso. A Kaspersky não atribui os ataques a um ator específico, mas observa indícios de uso da língua chinesa e sobreposição de infraestrutura com atividades de grupos conhecidos. Usuários do WhatsApp são aconselhados a ter cautela ao abrir arquivos enviados por contatos, mesmo que confiáveis, e a sempre verificar a autenticidade dos mesmos.

Ataque à cadeia de suprimentos compromete plugins do WordPress

Um ataque à cadeia de suprimentos comprometeu múltiplos plugins do WordPress da ShapedPlugin, permitindo que invasores inserissem código malicioso nas versões Pro dos plugins. O ataque foi identificado pela empresa de segurança Wordfence, que revelou que os atacantes conseguiram manipular o canal de distribuição oficial, injetando um loader que se ativa em cada página de administração do WordPress. As versões afetadas incluem o Product Slider Pro para WooCommerce (antes da versão 3.5.4), Real Testimonials Pro (versão 3.2.5) e Smart Post Show Pro (antes da versão 4.0.2). O CVE-2026-49777 foi atribuído ao Product Slider Pro, com uma pontuação CVSS de 10.0, indicando severidade máxima. O malware é capaz de capturar credenciais e códigos de autenticação de dois fatores, além de estabelecer métodos de persistência que permitem a execução de comandos remotamente. A ShapedPlugin confirmou o incidente e está revisando seus processos de distribuição. Os proprietários de sites afetados são aconselhados a redefinir senhas e revisar contas administrativas. Este incidente destaca a vulnerabilidade de sistemas que dependem de canais de distribuição para atualizações seguras.

Campanha FortiBleed e novas ameaças em cibersegurança

Nesta semana, o cenário de cibersegurança apresenta ameaças recorrentes, incluindo a campanha FortiBleed, que comprometeu mais de 80 mil dispositivos Fortinet FortiGate em todo o mundo. A campanha, que começou em fevereiro de 2026, utiliza credenciais reutilizadas de incidentes anteriores e técnicas de força bruta, destacando a importância de práticas de segurança robustas, como a autenticação multifator (MFA). Além disso, a Salesforce desativou a integração do aplicativo Klue após um incidente de extorsão que resultou no acesso não autorizado a dados de clientes. A operação de ransomware Gentlemen também está desenvolvendo ferramentas para desativar produtos de detecção de endpoint, enquanto uma nova vulnerabilidade no Splunk permite a execução remota de código sem autenticação. Por fim, um exploit de hardware, chamado usbliter8, afeta chips Apple A12 e A13, sendo impossível de ser corrigido. Essas ameaças ressaltam a necessidade de vigilância contínua e atualização das práticas de segurança em ambientes corporativos.

Google inicia verificação de desenvolvedores Android em quatro países

A partir de 30 de setembro de 2026, o Google começará a implementar a verificação de desenvolvedores Android em quatro países: Brasil, Indonésia, Cingapura e Tailândia. Essa medida visa bloquear a instalação de aplicativos de desenvolvedores não registrados em dispositivos Android certificados, que representam mais de 95% dos aparelhos fora da China. O novo serviço, chamado Android Developer Verifier, será instalado em dispositivos com Android 8 ou superior e confirmará se um aplicativo está associado a um desenvolvedor verificado antes da instalação. Aplicativos não registrados ainda poderão ser instalados, mas por meio de métodos mais complexos, como o Android Debug Bridge (ADB), que exigem que o usuário ative o modo desenvolvedor e passe por um processo de autenticação. O Google justifica essa mudança como uma forma de combater o malware, que é mais prevalente em fontes não verificadas. No entanto, a comunidade de código aberto, representada por organizações como o F-Droid, expressou preocupações de que essa exigência pode inviabilizar projetos que dependem de contribuições anônimas. A implementação global está prevista para 2027, mas questões sobre o processo de apelação para desenvolvedores e a manutenção do registro de identidade permanecem sem resposta.

Campanha de malware OXLOADER utiliza anúncios maliciosos para disseminação

Pesquisadores de cibersegurança revelaram uma nova campanha que distribui o malware CastleStealer através de um carregador de malware inédito chamado OXLOADER. Segundo o Elastic Security Labs, a campanha utiliza anúncios maliciosos no Google como ponto de partida para a distribuição do malware. A análise sugere que o ator da ameaça é de língua russa e motivado financeiramente, uma vez que há exclusões explícitas para evitar a infecção de máquinas na região da Comunidade dos Estados Independentes (CEI).

Nova família de malware transforma roteadores em rede de espionagem

Uma nova família de malware, chamada AryStinger, está transformando roteadores domésticos esquecidos em uma rede de reconhecimento distribuído, ao invés de uma botnet DDoS. A empresa QiAnXin’s XLab identificou pelo menos 4.300 roteadores infectados, número que continua a crescer. O malware explora vulnerabilidades em roteadores antigos, especificamente aqueles com chips RTL819X da Realtek, que eram comuns entre 2012 e 2015. A infecção se espalhou a partir de um único IP e utiliza falhas conhecidas, como CVE-2013-3307 e CVE-2016-5681, para comprometer dispositivos, principalmente da D-Link. Além disso, uma variante do malware também ataca caixas NAS da QNAP. O AryStinger permite que os dispositivos infectados realizem varreduras na internet, coletando informações e ocultando a localização do verdadeiro atacante. A persistência do malware é garantida por um servidor SSH. A recomendação para os usuários é desativar a administração remota e substituir roteadores que não recebem mais atualizações de firmware.

Malware AryStinger compromete mais de 4.000 roteadores desatualizados

O malware botnet AryStinger, recentemente descoberto, já comprometeu mais de 4.000 roteadores desatualizados, transformando-os em proxies para tráfego malicioso. Pesquisadores do XLab, da Qianxin, revelaram que o malware permite que dispositivos infectados atuem como ’executores’ controlados remotamente, realizando atividades como escaneamento, proxy, tunelamento e execução de comandos. Essa abordagem distribuída permite que atacantes dividam tarefas massivas em partes menores, aumentando a eficiência de operações de intrusão. Além de usar roteadores comprometidos para operações maliciosas, o AryStinger pode alterar configurações de DNS, sequestrando a navegação do usuário e monitorando silenciosamente o tráfego de rede. O malware explora vulnerabilidades antigas, como CVE-2013-3307 e CVE-2016-5681, visando principalmente modelos de roteadores D-Link. A pesquisa indica que a maioria das infecções está concentrada na Coreia do Sul, seguida pela China e Suécia. Os especialistas alertam que proprietários de roteadores obsoletos devem substituí-los por modelos novos e aplicar atualizações de firmware para mitigar riscos.

Grupo de hackers norte-coreano compromete 140 pacotes npm

A Microsoft atribuiu um recente ataque à cadeia de suprimentos do Mastra AI, que comprometeu mais de 140 pacotes npm, ao grupo de hackers norte-coreano Sapphire Sleet, também conhecido como BlueNoroff. O ataque começou com a violação da conta de um mantenedor do npm, permitindo que os atacantes publicassem atualizações maliciosas. As atualizações incluíam uma dependência chamada ’easy-day-js’, que é uma imitação da popular biblioteca JavaScript dayjs. Quando os pacotes comprometidos eram instalados, a dependência maliciosa executava um script que implantava um dropper de malware nos dispositivos dos desenvolvedores, com o objetivo de roubar credenciais sensíveis, chaves de API e carteiras de criptomoedas. O malware, que é projetado para ser multiplataforma, coleta informações sobre o sistema e verifica a presença de extensões de carteira de criptomoeda. A Microsoft observou que a comunicação com os servidores de comando e controle dos atacantes resultou em atividades adicionais, incluindo a implantação de um backdoor PowerShell. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante na segurança cibernética.

Autoridades desmantelam infraestrutura maliciosa do SocGholish

As autoridades de segurança da Holanda, em colaboração com o Canadá, Alemanha e EUA, desmantelaram a infraestrutura maliciosa associada ao malware SocGholish, resultando na limpeza de quase 15.000 sites WordPress infectados. O malware, que atua como um downloader baseado em JavaScript, é conhecido por distribuir outras ameaças cibernéticas, como ransomware e espionagem. Desde 2017, o SocGholish tem se espalhado por meio de sites comprometidos, disfarçando-se como atualizações enganosas de navegadores populares. A operação, parte da ‘Operação Endgame’, visa combater botnets e infraestruturas criminosas. Os proprietários dos sites afetados foram alertados para atualizar seus sistemas de gerenciamento de conteúdo e alterar credenciais. A análise indica que a maioria dos sites comprometidos está localizada nos EUA, seguida por países como Alemanha, França e Brasil. O uso de técnicas como ‘Domain Shadowing’ tem facilitado a operação do malware, tornando a detecção mais difícil. A ameaça é considerada de alto risco, afetando diversos setores e exigindo atenção especial dos CISOs, especialmente em relação à conformidade com a LGPD.

Plugins do WordPress da ShapedPlugin comprometidos em ataque supply chain

Um ataque de supply chain comprometeu múltiplos plugins pagos da ShapedPlugin, um fornecedor de plugins para WordPress, que afeta mais de 400 mil instalações ativas. O malware, distribuído através do sistema oficial de atualizações da empresa, instala um plugin falso que se passa por componentes do WooCommerce, permitindo o roubo de credenciais e acesso remoto a arquivos. O incidente afetou três plugins: Product Slider Pro, Real Testimonials Pro e Smart Post Show Pro, com a injeção do backdoor ocorrendo em 21 de maio e os primeiros relatos de clientes surgindo em 10 de junho. A ShapedPlugin reconheceu a violação em 16 de junho e iniciou uma investigação, implementando medidas corretivas. O malware, uma vez ativado, se comunica com um servidor de comando e controle, baixa um segundo estágio e se autodeleta para apagar rastros. O WordPress está monitorando o incidente sob os CVEs CVE-2026-10735 e CVE-2026-49777. Administradores de sites afetados são aconselhados a redefinir senhas e revisar listas de usuários.

Agências internacionais combatem botnet SocGholish e limpam sites WordPress

Agências internacionais de segurança, incluindo Europol e Eurojust, realizaram uma operação conjunta chamada Operation Endgame, que resultou na limpeza de quase 15.000 sites WordPress infectados por malware e na desativação de mais de 100 servidores associados ao grupo de cibercrime russo Evil Corp. A operação, que envolveu autoridades da Holanda, Canadá, Estados Unidos e Alemanha, focou na interrupção da cadeia de infecção ligada ao malware SocGholish. Este malware, que atua como um downloader de JavaScript, tem sido utilizado em ataques desde 2017, enganando usuários a baixarem atualizações falsas de navegadores que, na verdade, são cargas maliciosas. O malware permite que os atacantes acessem sistemas infectados e é conhecido por implantar outras famílias de malware, como Dridex e Doppelpaymer. As autoridades também recomendaram que os proprietários dos sites afetados alterassem suas credenciais, ativassem a autenticação multifatorial e mantivessem seus sites atualizados para evitar novas infecções. A operação representa um esforço significativo para mitigar os riscos de ataques cibernéticos em infraestruturas críticas e proteger a segurança digital de cidadãos e organizações em todo o mundo.

Ameaça de malware rouba criptomoedas usando rede Tor

Atacantes estão direcionando suas ações a carteiras de criptomoedas, utilizando um malware que rouba dados do clipboard e possui capacidades de auto-propagação. A campanha, que está ativa desde fevereiro, utiliza arquivos LNK em drives USB para disseminar o malware, que monitora o conteúdo do clipboard e substitui endereços de carteiras de criptomoedas por aqueles controlados pelos atacantes. Além disso, o malware é capaz de capturar frases-semente e chaves privadas, enviando essas informações através da rede Tor. O processo de infecção se inicia quando a vítima abre o arquivo LNK, ativando o malware. Este realiza uma varredura local em busca de arquivos de documentos, ocultando os originais e substituindo-os por atalhos maliciosos. O malware também captura capturas de tela a cada dez segundos e estabelece comunicação com um servidor de comando e controle (C2) via um executável Tor. A Microsoft alerta que os indicadores mais fortes de infecção são comportamentais, recomendando monitorar atividades de processos como wscript.exe e conexões com o localhost:9050. Essa ameaça representa um risco significativo para usuários de criptomoedas, especialmente em um cenário onde a segurança digital é cada vez mais crucial.

Campanha de malware clippers ataca usuários do Windows desde fevereiro de 2026

A Microsoft revelou uma campanha de malware clippers que tem afetado usuários do Windows desde fevereiro de 2026. Este tipo de malware é projetado para monitorar e roubar informações sensíveis copiadas para a área de transferência, especialmente endereços de carteiras de criptomoedas. A análise da Microsoft Defender Security Research Team destaca que o clippers utiliza lógica baseada no Windows Script Host e ActiveX para lançar um proxy Tor e se conectar a um servidor de comando e controle (C2) oculto. O malware realiza roubo de clipboard em alta frequência, exfiltra capturas de tela e substitui endereços de carteiras.

Cibersegurança A Internet Usada de Forma Prejudicial

Recentemente, a cibersegurança enfrentou uma série de incidentes alarmantes que demonstram a vulnerabilidade da infraestrutura digital. Entre os problemas destacados, extensões de navegador enganosas foram identificadas, redirecionando buscas de usuários para intermediários de monetização, comprometendo a privacidade e segurança. Além disso, um ataque sofisticado no macOS, denominado ClickFix, utiliza um método sem arquivos para roubar informações, deixando poucos rastros. Os criminosos cibernéticos também abusaram de plataformas de chat, como a Claude, para disseminar malware que rouba credenciais. Outra preocupação é a fraude via WhatsApp, onde golpistas se passam por hotéis para obter dados de pagamento de viajantes. Em resposta a essas ameaças, a Amazon lançou o AWS Continuum, um agente de segurança baseado em IA para gerenciar vulnerabilidades de código. O cenário é preocupante, com um aumento significativo de ataques direcionados e técnicas de engenharia social, exigindo atenção redobrada das organizações para proteger seus dados e sistemas.

Ameaça de malware usa engenharia social em plataformas populares

Um novo relatório da Check Point Research revela que um ator de ameaça desconhecido está utilizando postagens pagas em sites de notícias legítimos para promover malware. O foco principal da campanha é um ‘clipboard hijacker’ de criptomoedas, disfarçado como bots de sniper e preditores de jogos. O malware, desenvolvido em Rust, ataca sistemas Windows e macOS, monitorando a área de transferência para substituir endereços de carteiras de criptomoedas por endereços controlados pelo atacante. Para criar uma falsa reputação, o ator utiliza uma página de phishing no WordPress, contas falsas no GitHub e SourceForge, além de um canal no YouTube com mais de 91 mil assinantes. A manipulação de plataformas como VirusTotal e SourceForge, onde contagens de downloads foram artificialmente inflacionadas, visa aumentar a confiança dos usuários em arquivos maliciosos. A campanha destaca uma nova abordagem de engenharia social, onde a construção de uma reputação falsa se torna uma estratégia central para enganar as vítimas, especialmente aqueles envolvidos com criptomoedas e jogos online.

Cuidado, gamers Steam Workshop é usado para espalhar malware

Pesquisadores da Kaspersky alertaram que o Steam Workshop, uma plataforma popular entre gamers para compartilhar conteúdo personalizado, está sendo explorado para disseminar malware através do aplicativo Wallpaper Engine. Desde pelo menos o final de 2025, wallpapers maliciosos foram baixados dezenas de milhares de vezes, infectando usuários com backdoors, infostealers, miners e até ransomware. Os hackers utilizam wallpapers interativos que, ao serem instalados, executam automaticamente o malware, que pode estar embutido no pacote ou em arquivos compactados protegidos por senha. Embora a Valve tenha removido as aplicações infectadas, a possibilidade de novos uploads maliciosos persiste, exigindo cautela dos usuários. A maioria das vítimas está localizada na Rússia e na China, mas a ameaça pode se espalhar globalmente, afetando gamers em todo o mundo.

Ataque cibernético revela falhas em segurança de pequenas empresas

Um ataque cibernético a uma pequena empresa automotiva na França, realizado por um invasor de língua francesa, expôs vulnerabilidades significativas em segurança. O atacante, identificado como ‘Poisson’, implantou um keylogger para roubar credenciais bancárias e de e-mail. O que se destacou foi a instalação de OpenSSH e Tailscale na máquina da vítima, criando um acesso persistente que não dependia do servidor de comando e controle (C2). Após o C2 ficar offline, o acesso do invasor permaneceu ativo, permitindo que ele se reconectasse automaticamente dias depois. O ataque foi documentado em detalhes por pesquisadores da Cato Networks, que capturaram 339 comandos executados ao longo de 33 dias. O invasor utilizou ferramentas comuns e deixou rastros, como a exposição de seu diretório pessoal e a nomeação de buckets de armazenamento com seu próprio nome. O ataque destaca a importância de não apenas desativar o C2, mas também de identificar e eliminar portas de acesso alternativas que possam ter sido criadas. Para pequenas empresas, a exposição financeira decorrente do roubo de credenciais é uma preocupação crítica.

Usuários do Microsoft Teams devem ter cuidado com ransomware

Pesquisadores de segurança da Symantec alertaram que hackers de ransomware, conhecidos como DragonForce, estão utilizando servidores de retransmissão do Microsoft Teams para ocultar tráfego malicioso. Essa técnica, chamada de ‘Ghost Calls’, permite que os atacantes disfarcem suas comunicações de comando e controle (C2) como se fossem tráfego legítimo do Teams, dificultando a detecção por parte das equipes de segurança. O ataque ocorreu em dezembro de 2025, quando os hackers exploraram uma vulnerabilidade desconhecida em servidores SQL para obter acesso à rede de uma grande empresa de serviços nos EUA. Eles implantaram um malware personalizado chamado ‘Backdoor.Turn’, que utiliza o protocolo TURN do Teams para mascarar suas atividades. Essa abordagem representa um avanço significativo nas táticas de cibercrime, mostrando um nível de sofisticação elevado. A DragonForce, que opera sob um modelo de cartel de drogas, permite que afiliados utilizem sua infraestrutura e malware, aumentando a complexidade do cenário de ameaças. A situação exige atenção redobrada das empresas que utilizam o Microsoft Teams, uma vez que a técnica pode ser replicada em outros ambientes corporativos.

Campanha de malware no JetBrains Marketplace compromete chaves de API

Pesquisadores de cibersegurança identificaram uma campanha coordenada de malware no JetBrains Marketplace, onde 15 plugins maliciosos foram publicados, capazes de exfiltrar chaves de API de provedores de inteligência artificial (IA). Os plugins, que se apresentam como assistentes de codificação baseados em modelos de linguagem, funcionam conforme anunciado, mas capturam a chave de API inserida pelo usuário e a enviam para um servidor controlado pelos atacantes. A atividade, que começou em outubro de 2025, continua com novos plugins sendo lançados até junho de 2026. Entre os plugins mais populares estão o CodeGPT AI Assistant e o DeepSeek AI Assist, ambos com mais de 25.000 downloads, embora a autenticidade desses números seja questionável. Os plugins compartilham um código-base semelhante e exigem que os usuários insiram suas chaves de API para funcionar. Além disso, após o pagamento de uma taxa, o plugin fornece uma chave de API ao usuário, que é utilizada em vez da chave original, levantando suspeitas de que os operadores estão monetizando as chaves roubadas. Essa campanha evidencia a crescente vulnerabilidade dos ambientes de desenvolvimento, que se tornaram alvos lucrativos para cibercriminosos.

Pacotes npm do Mastra comprometidos em ataque à cadeia de suprimentos

Um ataque à cadeia de suprimentos de software, denominado easy-day-js, comprometeu 144 pacotes npm associados ao namespace Mastra, um framework popular de JavaScript e TypeScript para aplicações de inteligência artificial. O ataque foi identificado por empresas de segurança como JFrog, SafeDep, Socket e StepSecurity. Um único usuário npm, identificado como ’ehindero’, publicou mais de 140 pacotes maliciosos em um curto espaço de tempo. Embora os pacotes infectados não contenham código malicioso, eles dependem de uma biblioteca de terceiros chamada ’easy-day-js’, que foi alterada para incluir um payload ofuscado. Esse payload é ativado durante um hook de pós-instalação e se conecta a um servidor controlado pelos atacantes para baixar um trojan que rouba informações, incluindo dados de carteiras de criptomoedas. O ataque afetou pacotes amplamente utilizados, como o @mastra/core, que possui mais de 918 mil downloads semanais. A Npm já removeu as versões maliciosas, mas qualquer ambiente que tenha instalado essas versões deve ser considerado potencialmente comprometido.

Novo trojan bancário Android Rokarolla ataca 217 aplicativos

Um novo trojan bancário para Android, denominado Rokarolla, está atacando 217 aplicativos de bancos e criptomoedas, utilizando um conjunto extenso de 137 comandos. O malware é distribuído por meio de sites maliciosos que se passam por provedores do Google Chrome ou TikTok, permitindo que os invasores assumam o controle administrativo total de dispositivos comprometidos. Entre suas capacidades, estão o roubo de credenciais de tela de bloqueio, listas de contatos e dados de SMS, além de registrar continuamente as entradas do usuário através de keyloggers.

Plugins maliciosos no JetBrains Marketplace roubam chaves de API de IA

Uma campanha de malware foi descoberta no JetBrains Marketplace, onde pelo menos 15 plugins maliciosos foram projetados para roubar chaves de API de IA de desenvolvedores. Os plugins, que atuam como assistentes de codificação e ferramentas de revisão de código, foram baixados cerca de 70.000 vezes. Aikido Security, a empresa que identificou a ameaça, revelou que os plugins exfiltram as chaves de API assim que o usuário clica em ‘Aplicar’ após inseri-las nas configurações. Os dados são enviados para um servidor específico, comprometendo a segurança dos desenvolvedores. Embora os plugins funcionem como prometido, eles secretamente transmitem as credenciais para os atacantes. Além disso, a pesquisa sugere que os operadores dos plugins podem estar coletando credenciais de usuários gratuitos para fornecer chaves a usuários pagos. A análise de um dos plugins, o DeepSeek AI Assist, confirmou a presença do código de roubo de credenciais. Até o momento, o plugin ainda está disponível para download no Marketplace, o que levanta preocupações sobre a segurança da plataforma.

Mais de 1 milhão de sites WordPress em risco após plugin popular ser hackeado

Mais de um milhão de sites WordPress estão em risco de serem comprometidos devido a uma vulnerabilidade no plugin UpdraftPlus, que foi explorada em um ataque de cadeia de suprimentos. O ataque, identificado pela empresa de segurança Sansec, afetou o servidor de marketing da Awesome Motive, responsável por produtos populares como OptinMonster. Os hackers conseguiram acessar credenciais do servidor e injetar scripts JavaScript maliciosos que só eram ativados quando administradores logados visitavam os sites afetados. Isso permitiu que os atacantes coletassem tokens de autenticação e criassem contas de administrador falsas, possibilitando o controle total dos sites. Os proprietários de sites são aconselhados a verificar a presença de contas de administrador não autorizadas e a realizar varreduras de malware. Além disso, é recomendado que senhas e chaves de API sejam rotacionadas para mitigar o risco de comprometimento contínuo.

Técnicas de Ataque com Junctions NTFS O Caso do GhostTree

O artigo explora como junctions e links simbólicos do sistema de arquivos NTFS podem ser utilizados por atacantes para criar estruturas de diretórios recursivas, conhecidas como GhostTree e GhostBranch. Essas técnicas permitem que um usuário, sem privilégios administrativos, crie loops que geram caminhos de arquivos praticamente infinitos. Isso pode dificultar a detecção de arquivos maliciosos, pois ferramentas de segurança, como produtos EDR, podem ficar presas nesses loops, deixando os arquivos maliciosos sem exame. O GhostBranch é uma técnica mais simples que cria um loop lógico ao apontar um diretório filho de volta para o diretório pai, enquanto o GhostTree expande essa ideia, permitindo múltiplos diretórios filhos que também se conectam ao pai, aumentando exponencialmente o número de caminhos válidos. O artigo destaca a importância de monitorar a atividade do sistema de arquivos para detectar essas anomalias e sugere que a visibilidade e o controle de acesso são cruciais para a proteção de dados sensíveis. A técnica foi testada contra o Windows Defender, confirmando sua eficácia em evitar a detecção de malware. A Varonis, autora do artigo, oferece soluções para monitoramento e proteção de dados em ambientes corporativos.

Ameaça de malware no Steam Workshop compromete contas de usuários

Pesquisadores da Kaspersky alertam sobre uma nova onda de ataques cibernéticos que exploram o Steam Workshop, plataforma da Valve para compartilhamento de conteúdo de jogos. Os atacantes estão utilizando pacotes de papéis de parede infectados para disseminar malware, que pode resultar no sequestro de contas Steam, instalação de backdoors e execução de processos de criptomineria. O Wallpaper Engine, um aplicativo popular para personalização de papéis de parede, é o vetor principal dessa ameaça. Os wallpapers maliciosos podem conter arquivos executáveis que, ao serem instalados, ativam automaticamente o malware. Os pesquisadores identificaram diversas variantes de malware, incluindo infostealers e mineradores de criptomoedas, que já foram baixados milhares de vezes. Embora a Valve tenha removido os wallpapers maliciosos identificados, a Kaspersky alerta que novos arquivos prejudiciais podem ser enviados a qualquer momento. Para se proteger, os usuários devem baixar conteúdos apenas de fontes confiáveis e utilizar antivírus atualizados para escanear os downloads do Steam Workshop.

Campanhas de malware ClickFix visam organizações financeiras e educacionais

Pesquisadores de cibersegurança identificaram várias campanhas de malware conhecidas como ClickFix, que distribuem três carregadores de malware: BabaDeda Loader, Lorem Ipsum Loader e Potemkin. O BabaDeda Loader, observado em abril de 2026, tem como alvo organizações educacionais e financeiras, utilizando técnicas de engenharia social para induzir usuários a executar comandos PowerShell maliciosos. Este carregador é projetado para evitar sistemas na Rússia e Belarus e realiza verificações de segurança antes de injetar cargas úteis em processos confiáveis do Windows. Entre as cargas úteis estão backdoors .NET que coletam dados sensíveis e estabelecem canais criptografados com servidores de comando e controle (C2).

Novas variantes do malware SprySOCKS afetam Windows

Pesquisadores de cibersegurança identificaram duas variantes do malware SprySOCKS, anteriormente conhecido como um backdoor exclusivo para Linux, agora adaptadas para Windows. As variantes, denominadas WIN_DRV e WIN_PLUS, possuem configurações de comando e controle (C&C) embutidas e suportam comunicação via TCP, UDP e WebSocket. Ambas as versões permitem a execução de mais de 30 comandos, incluindo coleta de informações do sistema e gerenciamento de processos. A variante WIN_DRV utiliza drivers de kernel para ocultar conexões de rede e processos, enquanto a WIN_PLUS se aproveita do serviço de spooler de impressão do Windows para iniciar o backdoor. As evidências sugerem que essas variantes foram implantadas em ataques direcionados a organizações governamentais em países como Honduras, Taiwan e Paquistão entre 2023 e 2024. A descoberta dessas versões para Windows representa uma expansão significativa das capacidades do grupo de espionagem cibernética conhecido como FishMonger, que está associado a um ator de ameaças patrocinado pelo estado chinês. A análise revela que a arquitetura central do SprySOCKS foi preservada, mas com melhorias na furtividade e na adaptação a mecanismos nativos do Windows.

Novo trojan bancário para Android ameaça 217 aplicativos financeiros

Pesquisadores de segurança da Zimperium documentaram um novo trojan bancário para Android, chamado Rokarolla, que ataca 217 aplicativos de bancos e criptomoedas. O malware, que possui 137 comandos remotos, permite que um operador tenha controle quase total do dispositivo infectado. Entre suas funcionalidades, estão a captura de PINs de bloqueio, leitura e envio de SMS, redirecionamento de pagamentos em criptomoedas e desativação do Google Play Protect. O Rokarolla se espalha por sites maliciosos que se disfarçam de aplicativos conhecidos, como TikTok e Chrome. Ao ser instalado, ele se apresenta como Google Play Protect para obter acesso de acessibilidade e, em seguida, desativa a proteção. O roubo de informações ocorre através de sobreposições, onde páginas de login falsas são exibidas sobre os aplicativos legítimos, capturando dados sensíveis dos usuários. Além disso, o malware pode ler mensagens SMS, interceptar códigos de autenticação e modificar a área de transferência para redirecionar pagamentos. A Zimperium alerta que não há um patch a ser aplicado, pois se trata de um malware, e recomenda que os usuários instalem aplicativos apenas da Google Play e mantenham o Play Protect ativado.

Novas variantes do malware SprySOCKS atacam organizações governamentais

Pesquisadores da ESET identificaram variantes do malware SprySOCKS, originalmente desenvolvido para Linux, sendo utilizadas em ataques direcionados a organizações governamentais em Taiwan, Tailândia, Paquistão e Honduras entre 2023 e 2024. O malware está associado ao grupo de ameaças chinês conhecido como Earth Lusca, que também é rastreado como FishMonger. As novas variantes para Windows, denominadas WIN_DRV e WIN_PLUS, apresentam capacidades avançadas de furtividade em nível de kernel, permitindo que os operadores ocultem artefatos de malware e se comuniquem com o backdoor através de tráfego redirecionado de portas TCP arbitrárias. O WIN_DRV inclui drivers de kernel para funcionalidades semelhantes a rootkits, enquanto o WIN_PLUS é uma versão mais simples. Ambas as variantes podem executar uma ampla gama de comandos, coletar informações do sistema e gerenciar arquivos. Além disso, a ESET observou indícios de um componente de bootkit UEFI que pode explorar uma vulnerabilidade conhecida como CVE-2023-24932. A descoberta dessas variantes indica que o Earth Lusca está ampliando seu arsenal para atingir uma variedade mais diversificada de sistemas, representando uma ameaça significativa para a segurança cibernética global.

Grupo de hackers norte-coreano usa phishing para espalhar malware

O grupo de hackers patrocinado pelo Estado norte-coreano, conhecido como ScarCruft (ou APT37), foi identificado utilizando mensagens de spear-phishing que se disfarçam como notificações de segurança de contas da Microsoft para disseminar um malware chamado NarwhalRAT. Segundo o Genians Security Center (GSC), o e-mail malicioso simula um alerta de segurança, criando uma falsa preocupação sobre possíveis compromissos de conta e abuso de senhas de uso único (OTP), levando a vítima a abrir um anexo. Este anexo, na verdade, é um arquivo ZIP que contém um arquivo LNK malicioso. Ao ser executado, o arquivo LNK inicia uma cadeia de infecção em múltiplas etapas, baixando e instalando o NarwhalRAT, que é capaz de registrar teclas, capturar telas, gravar áudio ambiente e executar comandos de um servidor de comando e controle (C2). O malware se destaca por sua capacidade de se esconder em um diretório disfarçado, evitando a detecção. A infraestrutura de C2 utiliza sites coreanos e a API de armazenamento em nuvem pCloud, o que indica um nível avançado de sofisticação. Essa nova abordagem do ScarCruft representa uma evolução em suas táticas, marcando uma mudança significativa em relação ao RokRAT, um malware anteriormente associado ao grupo.

Campanhas cibernéticas maliciosas ligadas à Coreia do Norte

Pesquisadores de cibersegurança identificaram duas campanhas cibernéticas maliciosas associadas a um grupo de ameaças persistente da Coreia do Norte, conhecido como Contagious Interview. Segundo um relatório da Proofpoint, o grupo tem realizado campanhas de phishing direcionadas a quase 100 organizações em setores como finanças, criptomoedas, educação e tecnologia, utilizando temas de recrutamento de desenvolvedores. Os ataques, codificados como UNK_DeadDrop, começam com e-mails que contêm links para repositórios do GitHub controlados pelos atacantes, que hospedam scripts maliciosos. Esses scripts são projetados para executar malware em múltiplas plataformas, incluindo macOS, Linux e Windows, utilizando uma técnica que permite a execução automática de código malicioso ao abrir o Visual Studio Code. O objetivo principal das campanhas é roubar credenciais e dados de extensões de carteiras digitais. Além disso, foram descobertas extensões maliciosas no marketplace do VS Code que funcionam como backdoors sofisticados. As atividades do grupo indicam uma evolução nas operações de cibercrime da Coreia do Norte, com uma mudança de engenharia social ativa para campanhas de phishing em larga escala.

Grupo de espionagem ligado à China compromete redes de pesquisa na América do Norte

Um grupo de espionagem vinculado à China infiltrou-se em redes de pesquisa médica, acadêmica e militar na América do Norte por mais de um ano, roubando informações sensíveis. A entrada ocorreu através de uma porta dos fundos em servidores REDCap, utilizados para gerenciar bancos de dados de estudos. Os atacantes implementaram um malware chamado INFINITERED, que permitiu o roubo de credenciais e o controle do sistema. O método de exfiltração foi inovador: os atacantes manipularam regras de conformidade de conteúdo do Google Workspace para copiar e-mails que correspondiam a palavras-chave específicas para uma conta de e-mail controlada por eles. O Google identificou a campanha e notificou as organizações afetadas, interrompendo a infraestrutura do grupo. A vulnerabilidade inicial não foi especificada, mas o Google observou que o grupo estava explorando versões antigas e vulneráveis do REDCap. A exfiltração de e-mails foi realizada sem a necessidade de malware adicional no servidor de e-mail, utilizando apenas uma funcionalidade legítima do Google Workspace. Este incidente destaca a importância de revisar e proteger as regras de conformidade de conteúdo em ambientes de nuvem.

Plugins do WordPress comprometidos em ataque à cadeia de suprimentos

Recentemente, os plugins OptinMonster, TrustPulse e PushEngage do WordPress foram alvo de um ataque à cadeia de suprimentos que afetou a rede de distribuição de conteúdo (CDN) da Awesome Motive. O ataque, descoberto pela empresa de segurança Sansec, ocorreu entre 22:17 e 22:42 UTC na sexta-feira, resultando na injeção de scripts maliciosos em sites que utilizam os plugins. O OptinMonster, que possui mais de 1,2 milhão de usuários, foi o mais impactado. Os atacantes exploraram uma vulnerabilidade conhecida no plugin UpdraftPlus para acessar um servidor que continha credenciais da CDN, permitindo a modificação de arquivos JavaScript e a distribuição de código malicioso. O malware coletava tokens de autenticação, criando contas de administrador não autorizadas e instalando um plugin backdoor que permitia controle remoto total dos sites comprometidos. A Awesome Motive já tomou medidas para remediar a situação, migrando o site afetado para um novo servidor e rotacionando todas as credenciais. Os proprietários de sites afetados são aconselhados a verificar e remover contas de administrador não autorizadas e a realizar varreduras de malware em seus servidores.

Campanha de espionagem ligada à China ataca servidores REDCap nos EUA

Uma campanha de espionagem atribuída ao grupo UNC6508, vinculado à China, comprometeu servidores expostos da plataforma REDCap, utilizada em pesquisas médicas e científicas. Os pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que a invasão ocorreu em setembro de 2023 e se estendeu por mais de um ano, com a implementação do malware InfiniteRed, que foi projetado especificamente para sistemas REDCap. Este malware possui três componentes principais: um módulo de persistência, um coletor de credenciais e uma porta dos fundos. O coletor captura nomes de usuário e senhas, armazenando-os em tabelas de banco de dados locais. Além disso, os atacantes utilizaram uma técnica inovadora para exfiltrar dados, criando uma regra de conformidade de conteúdo que enviava informações sensíveis por e-mail. O GTIG recomenda que administradores do REDCap atualizem suas versões e implementem autenticação multifator (MFA) para proteger contas de alto privilégio. O incidente destaca a necessidade de vigilância constante e atualização de sistemas para evitar compromissos semelhantes.

Ataque a plugins do WordPress compromete mais de 1,2 milhão de sites

Um ataque cibernético recente comprometeu arquivos JavaScript de plugins populares do WordPress, incluindo PushEngage, OptinMonster e TrustPulse, permitindo que um invasor criasse uma conta de administrador sob seu controle. O ataque ocorreu quando um administrador do site estava logado e carregou o código malicioso, que não afetou visitantes comuns. A empresa Awesome Motive, responsável pelos plugins, ainda não se manifestou sobre a situação. A empresa de segurança Sansec revelou que o código malicioso foi detectado em todos os três plugins, com PushEngage sendo o mais afetado, com uma janela de exposição que durou várias horas. O invasor utilizou uma chave de API do CDN para modificar os arquivos entregues aos sites, o que levanta preocupações sobre a segurança de sistemas de terceiros. Os sites afetados devem ser considerados comprometidos, e recomenda-se uma verificação completa do servidor para detectar possíveis backdoors. A situação é crítica, pois o ataque pode ter consequências sérias para a segurança e a privacidade dos dados dos usuários.

Vulnerabilidades e Ameaças em Cibersegurança Recapitulando a Semana

Nesta semana, o cenário de cibersegurança foi marcado por diversas vulnerabilidades críticas e incidentes de exploração ativa. O Google lançou atualizações de segurança para corrigir 74 falhas, incluindo uma vulnerabilidade de alta severidade no Chrome (CVE-2026-11645), que está sendo ativamente explorada. A falha permite acesso não autorizado à memória, com um CVSS de 8.8. Além disso, o grupo ShinyHunters explorou uma falha crítica no Oracle PeopleSoft (CVE-2026-35273), que permite que atacantes não autenticados assumam o controle do sistema, afetando principalmente instituições de ensino superior. Outra preocupação é a campanha ‘Atomic Arch’, que comprometeu mais de 1.500 pacotes do Arch Linux, introduzindo um malware que pode roubar credenciais. O FBI também desmantelou um serviço de phishing como serviço (PhaaS) que causou perdas de aproximadamente $1,9 bilhões. Por fim, uma vulnerabilidade crítica no VPN da Check Point (CVE-2026-50751) foi identificada, permitindo que atacantes contornem a autenticação. Essas ameaças destacam a necessidade urgente de atualizações e monitoramento contínuo em ambientes corporativos.

Ataque à cadeia de suprimentos compromete pacotes do Arch Linux

Recentemente, mais de 400 pacotes do Arch User Repository (AUR) foram comprometidos por atacantes que alteraram seus scripts de construção para instalar um malware projetado para roubar credenciais de desenvolvedores. O malware, um binário em Rust, coleta informações sensíveis, como cookies e tokens de autenticação de navegadores e aplicativos Electron. O ataque não explorou uma falha de software, mas sim o modelo de confiança do AUR, que manteve os nomes e históricos dos pacotes, enquanto apenas as instruções de construção foram alteradas. Os atacantes adotaram pacotes abandonados e enganaram a comunidade ao falsificar metadados de commits. A lista de pacotes afetados continua a crescer, e os usuários que instalaram ou atualizaram pacotes do AUR após 11 de junho devem verificar suas instalações. A remoção do pacote comprometido não é suficiente, pois o malware pode ter instalado um rootkit e um serviço persistente no sistema. A situação é crítica, e os administradores devem agir rapidamente para mitigar os riscos e proteger suas credenciais.

Pacotes do AUR distribuem rootkit e malware para Linux

Mais de 400 pacotes no Arch User Repository (AUR) estão distribuindo um rootkit para Linux e malware infostealer que visam credenciais e tokens de acesso. Um novo mantenedor está se passando por um publicador confiável na plataforma AUR para inserir pacotes infectados. O AUR é um repositório mantido pela comunidade, essencial para usuários do Arch Linux, pois oferece versões atualizadas de software e utilitários não disponíveis nos repositórios oficiais. No entanto, por não ser um espaço verificado, ele pode ser explorado por agentes maliciosos. Os pacotes comprometidos contêm scripts que baixam e executam um pacote npm malicioso chamado atomic-lockfile, que possui capacidades de rootkit e é projetado para ambientes de desenvolvimento. Ele visa dados de aplicativos como Slack, Microsoft Teams, e credenciais do GitHub, além de permitir a exfiltração de informações sensíveis. A equipe de manutenção do AUR está trabalhando para remover os pacotes maliciosos e recomenda que os usuários verifiquem os pacotes afetados. É aconselhável que os usuários do Arch Linux revisem suas credenciais e considerem reinstalar o sistema caso encontrem pacotes comprometidos.

Nacional ucraniano se declara culpado por ataques de ransomware Conti

Oleksii Oleksiyovych Lytvynenko, um cidadão ucraniano extraditado da Irlanda para os Estados Unidos, se declarou culpado por acusações de conspiração relacionadas à operação de ransomware Conti. O Departamento de Justiça dos EUA anunciou que Lytvynenko, de 44 anos, admitiu sua participação em ataques de ransomware que ocorreram entre 2021 e 2022, onde ele e seus cúmplices implantaram o ransomware Conti em redes de vítimas nos EUA e no exterior, roubando dados e criptografando dispositivos para extorquir pagamentos em Bitcoin. Lytvynenko se juntou à conspiração em setembro de 2021 e possuía dados roubados de oito vítimas nos EUA e quatro no exterior. Ele também trabalhou em um grupo que desenvolveu um “loader”, um tipo de malware utilizado para carregar softwares necessários para realizar os ataques. A operação Conti foi uma das mais ativas de grupos de cibercrime, tendo atacado mais de 1.000 vítimas e arrecadado mais de 150 milhões de dólares em resgates. Lytvynenko enfrenta uma pena máxima de 20 anos de prisão após sua extradição em julho de 2023.

Novas ameaças cibernéticas e ataques em cadeia expostas

Recentemente, um relatório da Flashpoint revelou que mais de 11 milhões de dispositivos foram infectados por infostealers, resultando na exposição de 3,3 bilhões de registros de identidade. Esses dados estão sendo comercializados em mercados ilícitos, com infostealers como Lumma e Vidar se destacando. Além disso, um novo trojan de acesso remoto (RAT) chamado SilabRAT, disponível por US$ 5.000 mensais, tem como foco o roubo de credenciais e é capaz de contornar medidas de segurança. A análise também aponta que hackers norte-coreanos são responsáveis por quase 50% das intrusões no setor de tecnologia, utilizando campanhas de infiltração para obter informações sensíveis. O Departamento de Justiça dos EUA apreendeu 13 domínios relacionados a uma suposta coleta de inteligência chinesa, destacando o uso de ofertas de emprego fraudulentas para obter dados confidenciais. Por fim, o Miasma Toolkit, um framework de ataque que permite a execução de ataques em cadeia, foi brevemente disponibilizado no GitHub, aumentando a preocupação com a segurança da cadeia de suprimentos. Essas ameaças evidenciam a sofisticação crescente dos ataques cibernéticos e a necessidade de vigilância constante.

Framework de ataque Miasma compromete ecossistemas de código aberto

O framework de ataque Miasma, que visa ecossistemas de código aberto por meio de ataques à cadeia de suprimentos, foi brevemente disponibilizado como código aberto no GitHub. Miasma é uma evolução do worm Shai-Hulud e compartilha características e técnicas semelhantes. O malware infecta máquinas de desenvolvedores, rouba credenciais de ambientes de construção e nuvem, e compromete repositórios legítimos, publicando versões trojanizadas que infectam outros desenvolvedores. Essa propagação autônoma pode transformar uma única violação em um ataque de cadeia de suprimentos em larga escala. O código-fonte do Miasma foi vazado através de contas de desenvolvedores comprometidas, indicando uma liberação intencional. O malware não requer infraestrutura de comando e controle, utilizando o GitHub para operar. Ele coleta credenciais de provedores de nuvem e sistemas CI/CD, comprometendo pacotes npm, PyPI e RubyGems. Uma característica notável é um ‘interruptor de segurança’ que apaga arquivos do usuário caso um token do GitHub seja revogado. A liberação do código do Miasma pode levar a variantes mais avançadas e aumentar a taxa de ataques, o que representa um risco significativo para a segurança do ecossistema de código aberto.