Malware

Pesquisadores da Sophos identificaram três campanhas distintas de ClickFix que atuam como vetores de entrega para um malware chamado MacSync, um ladrão de informações para macOS. Diferente de ataques tradicionais que dependem de exploits, essa técnica se baseia na interação do usuário, como copiar e executar comandos no terminal, tornando-a eficaz contra aqueles que não compreendem os riscos de executar comandos desconhecidos. As campanhas ocorreram entre novembro de 2025 e fevereiro de 2026, utilizando iscas como resultados patrocinados no Google e conversas do ChatGPT para enganar os usuários. O malware é projetado para coletar uma variedade de dados, incluindo credenciais e informações de carteiras de criptomoedas, e suas variantes mais recentes adaptam-se às medidas de segurança do sistema operacional. A técnica ClickFix tem sido amplamente adotada por diferentes grupos de ameaças, refletindo uma evolução nas táticas de engenharia social. Com o aumento do uso de ferramentas de IA e codificação, a ameaça se torna ainda mais relevante, especialmente para usuários de macOS, que frequentemente possuem credenciais de alto valor.

Recentemente, o cenário de cibersegurança apresentou uma série de incidentes preocupantes. O Google lançou atualizações de segurança para o Chrome, corrigindo duas vulnerabilidades críticas (CVE-2026-3909 e CVE-2026-3910) que estavam sendo exploradas ativamente. Além disso, a Meta anunciou a descontinuação do suporte à criptografia de ponta a ponta no Instagram, citando baixa adesão dos usuários. Uma operação internacional desmantelou o serviço criminoso SocksEscort, que utilizava roteadores residenciais para fraudes em larga escala, destacando a persistência de malware que comprometia dispositivos de rede. Outro incidente relevante foi a exploração do pacote npm nx por um ator de ameaças conhecido como UNC6426, que obteve acesso administrativo ao AWS de uma vítima em apenas 72 horas. A botnet KadNap, com mais de 14.000 dispositivos, também foi identificada como um proxy para atividades cibernéticas ilegais. Por fim, o grupo russo APT28 foi observado utilizando um conjunto sofisticado de ferramentas em campanhas de espionagem cibernética. Esses eventos ressaltam a necessidade urgente de monitoramento e atualização de sistemas de segurança.

A campanha de malware GlassWorm está em andamento, utilizando tokens do GitHub roubados para injetar código malicioso em centenas de repositórios Python. O ataque, identificado pela StepSecurity, afeta projetos como aplicativos Django, códigos de pesquisa em ML e pacotes do PyPI. Os invasores acessam contas de desenvolvedores, reescrevendo os commits legítimos com código obfuscado, mantendo a mensagem original. As injeções começaram em 8 de março de 2026, após a instalação de malware em sistemas de desenvolvedores por meio de extensões maliciosas do VS Code. O código malicioso, que verifica se o sistema está configurado para o idioma russo, baixa payloads adicionais projetados para roubar criptomoedas e dados. A campanha, chamada ForceMemo, destaca a evolução das táticas dos atacantes, que agora utilizam métodos de injeção que não deixam rastros visíveis no GitHub. A StepSecurity observa que a infraestrutura de comando e controle (C2) associada ao ataque já tinha transações registradas desde novembro de 2025, indicando um planejamento de longo prazo. Essa nova abordagem de ataque, que reescreve o histórico do git, representa um risco significativo para a segurança da cadeia de suprimentos de software.

Na última semana, o cenário de cibersegurança foi marcado por uma série de incidentes e ações de combate a ameaças. Um dos principais destaques foi a desarticulação da operação Tycoon 2FA, uma das maiores operações de phishing do mundo, realizada por uma coalizão de empresas de segurança e agências de aplicação da lei. Essa ação visa reduzir o impacto das credenciais de autenticação multifatorial (MFA) comprometidas. Além disso, o LeakBase, um dos maiores fóruns de cibercriminosos, também foi desmantelado, embora a eficácia dessas ações seja frequentemente temporária, já que os criminosos tendem a migrar para novas plataformas.

Um novo grupo de ameaças cibernéticas, identificado como CL-UNK-1068, tem atacado organizações de alto valor na Ásia, incluindo setores de aviação, energia, governo e tecnologia. A Palo Alto Networks atribui a atividade a um ator de ameaças chinês, com foco em espionagem cibernética. Os ataques utilizam um conjunto diversificado de ferramentas, incluindo malware personalizado e utilitários de código aberto, visando ambientes Windows e Linux. Técnicas como o uso de shells web e a coleta de dados sensíveis, como senhas e arquivos de configuração, foram observadas. Os atacantes também utilizam métodos inovadores para exfiltrar dados, como a codificação Base64 de arquivos, evitando o upload direto. A análise sugere que, apesar do foco em roubo de credenciais e dados sensíveis, não se pode descartar intenções criminosas. A operação é considerada de médio a alto risco, dada a natureza crítica dos setores atacados e a possibilidade de impactos significativos em conformidade com a LGPD.

Duas extensões do Google Chrome, QuickLens e ShotBird, tornaram-se maliciosas após transferências de propriedade, permitindo que atacantes injetassem malware e coletassem dados sensíveis. QuickLens, que tinha 7.000 usuários, foi descontinuada, enquanto ShotBird, com 800 usuários, ainda está disponível. A pesquisa revelou que a nova versão de QuickLens, após uma atualização maliciosa, removeu cabeçalhos de segurança e permitiu que scripts maliciosos fizessem requisições arbitrárias. Já ShotBird enganava usuários com uma falsa atualização do Chrome, levando-os a executar comandos que baixavam malware. Ambos os casos mostram um padrão de controle remoto do navegador e execução de scripts no sistema do usuário, aumentando o risco de roubo de credenciais e comprometimento de endpoints. A transferência de propriedade das extensões é vista como um vetor de infecção, destacando o problema da cadeia de suprimentos de extensões. A Microsoft também alertou sobre extensões maliciosas que se disfarçam de ferramentas legítimas, reforçando a necessidade de vigilância em ambientes corporativos.

O artigo aborda a crescente manipulação de Inteligências Artificiais (IAs) por cibercriminosos, destacando como técnicas de engenharia social evoluíram para enganar não apenas humanos, mas também máquinas. Modelos de linguagem como ChatGPT e Claude são explorados para descobrir vulnerabilidades, criar malwares e realizar ataques em larga escala. O conceito de ‘jailbreak linguístico’ é introduzido, onde hackers criam cenários fictícios para contornar as limitações das IAs e obter informações sigilosas. A manipulação de contexto é uma estratégia comum, onde os criminosos assumem identidades de autoridade para persuadir as IAs a relaxar suas defesas éticas. Essa abordagem não só facilita a criação de e-mails de phishing convincentes, mas também permite que indivíduos com pouco conhecimento técnico realizem ataques complexos. O artigo conclui que a cibersegurança do futuro exigirá uma combinação de habilidades técnicas, linguísticas e psicológicas para proteger sistemas contra essas novas ameaças.

Os arquivos PDF, frequentemente considerados inofensivos, podem esconder perigos significativos, como malware e links maliciosos. Hackers utilizam PDFs para disseminar fraudes digitais, aproveitando a confiança que esses documentos transmitem. Entre as táticas comuns estão links camuflados que levam a páginas de phishing e JavaScript embutido que pode explorar vulnerabilidades do Adobe Reader. Para evitar cair em armadilhas, é crucial realizar o ’teste do mouse’, que consiste em passar o cursor sobre links para verificar a URL real. Ferramentas como VirusTotal e Dangerzone também são recomendadas para analisar a segurança de PDFs, permitindo detectar ameaças antes que causem danos. Caso um PDF suspeito chegue, é mais seguro abri-lo em navegadores como Google Chrome ou Microsoft Edge, que oferecem uma camada de proteção adicional. Sinais de alerta incluem solicitações de conexão com sites desconhecidos, PDFs que pedem a execução de scripts e mensagens de remetentes desconhecidos. A conscientização e a cautela são essenciais para proteger dados pessoais e corporativos contra fraudes digitais.

Um novo tipo de ataque cibernético tem explorado a ingenuidade dos funcionários, levando-os a infectar seus próprios computadores corporativos. Pesquisadores da Huntress relataram uma campanha em que atacantes provocam falhas em navegadores e, em seguida, se passam por suporte técnico para induzir os usuários a realizar ações que comprometem a segurança da rede. O ataque começa com mensagens de spam que geram confusão, seguidas por chamadas de indivíduos que se apresentam como membros da equipe de TI. Essa abordagem cria uma falsa urgência, levando os funcionários a permitir acesso remoto ou executar comandos prejudiciais. Os atacantes utilizam técnicas como o ‘DLL sideloading’ para ocultar o malware entre arquivos legítimos, permitindo que o código malicioso opere sem levantar suspeitas. O impacto pode ser significativo, com um caso documentado em que um invasor se espalhou para nove computadores em apenas 11 horas. Essa mudança de estratégia, que foca na manipulação do comportamento do usuário em vez de explorar vulnerabilidades técnicas, representa um desafio crescente para a segurança cibernética nas empresas.

O grupo de cibercriminosos conhecido como Velvet Tempest, também identificado como DEV-0504, tem utilizado a técnica ClickFix e utilitários legítimos do Windows para implantar o malware DonutLoader e o backdoor CastleRAT. Pesquisadores da MalBeacon monitoraram as atividades do grupo em um ambiente simulado de uma organização sem fins lucrativos nos EUA, onde foram observadas ações como reconhecimento do Active Directory e coleta de credenciais armazenadas no Chrome. A invasão inicial ocorreu através de uma campanha de malvertising que direcionou as vítimas a inserir um comando ofuscado no diálogo de execução do Windows. Este comando ativou uma cadeia de comandos que buscou os primeiros carregadores de malware. Embora o Velvet Tempest seja conhecido por ataques de dupla extorsão, nesta intrusão específica não foi implantado o ransomware Termite, que já afetou vítimas de alto perfil. A técnica ClickFix tem sido adotada por outros grupos de ransomware, evidenciando uma tendência crescente de uso de engenharia social em ataques cibernéticos.

Um novo relatório de Inteligência de Ameaças da Microsoft revela que grupos de ameaças estão cada vez mais utilizando ferramentas de inteligência artificial (IA) para potencializar suas operações cibernéticas. A IA está sendo empregada em diversas etapas de ataques, como reconhecimento, phishing, desenvolvimento de infraestrutura e criação de malware. Os atacantes utilizam modelos de linguagem para redigir e-mails de phishing, traduzir conteúdos, resumir dados roubados e até depurar códigos maliciosos. Exemplos incluem grupos da Coreia do Norte, como Jasper Sleet, que criam identidades digitais falsas para se infiltrar em empresas ocidentais. Além disso, a Microsoft observa que a IA está sendo usada para desenvolver malware que pode se adaptar em tempo real. A empresa alerta que, à medida que as técnicas de ataque evoluem, as organizações devem reforçar suas defesas, focando na detecção de usos anômalos de credenciais e na proteção de sistemas de IA que podem ser alvos futuros. O uso crescente de IA por cibercriminosos representa um risco significativo, exigindo atenção especial dos profissionais de segurança da informação.

Pesquisadores da Push Security identificaram uma nova técnica de engenharia social chamada InstallFix, que está sendo utilizada por cibercriminosos para induzir usuários a executar comandos maliciosos sob a falsa promessa de instalação de ferramentas legítimas de interface de linha de comando (CLI). Essa técnica explora a prática comum entre desenvolvedores de baixar e executar scripts de fontes online sem a devida verificação. O ataque utiliza páginas clonadas de ferramentas populares, como o Claude Code, que imitam o layout e a documentação do site oficial, mas fornecem instruções de instalação que entregam malware. O malware identificado é o Amatera Stealer, projetado para roubar dados sensíveis, como credenciais e carteiras de criptomoedas. Os atacantes promovem essas páginas por meio de campanhas de malvertising no Google Ads, levando usuários a clicar em anúncios maliciosos que aparecem nos resultados de busca. A Push Security alerta que, devido à confiança excessiva em domínios, essa técnica pode se tornar uma ameaça significativa, especialmente para usuários não técnicos. Os pesquisadores recomendam que os usuários sempre busquem instruções de instalação em sites oficiais e evitem resultados patrocinados nas buscas do Google.

Pesquisadores de cibersegurança revelaram detalhes sobre uma campanha de malware em múltiplas etapas, chamada VOID#GEIST, que utiliza scripts em lote para entregar trojans de acesso remoto (RATs) como XWorm, AsyncRAT e Xeno RAT. O ataque começa com um script em lote ofuscado que é baixado de um domínio TryCloudflare e distribuído via e-mails de phishing. Este script inicial evita a elevação de privilégios e utiliza os direitos do usuário logado para estabelecer uma presença inicial no sistema, disfarçando suas atividades como operações administrativas comuns.

O grupo de hackers conhecido como Transparent Tribe, alinhado ao Paquistão, adotou ferramentas de codificação assistidas por inteligência artificial (IA) para desenvolver uma variedade de implantes maliciosos. Segundo a Bitdefender, essa nova abordagem resulta em uma produção em massa de malware, utilizando linguagens de programação menos conhecidas como Nim, Zig e Crystal. A estratégia, denominada ‘vibeware’, visa complicar a detecção ao inundar ambientes-alvo com binários descartáveis que utilizam diferentes protocolos de comunicação. Os ataques têm como alvo o governo indiano e suas embaixadas, além de empresas privadas e o governo afegão. Os métodos de infecção incluem e-mails de phishing com atalhos do Windows e iscas em PDFs. Após a execução, scripts PowerShell são utilizados para baixar backdoors e ferramentas de simulação de adversários, como Cobalt Strike. A Bitdefender alerta que essa industrialização de malware assistido por IA permite que os atacantes escalem suas atividades rapidamente, representando um risco crescente para a segurança cibernética.

Desde 2024, um ator de ameaça persistente avançada (APT) vinculado à China, identificado como UAT-9244, tem como alvo a infraestrutura crítica de telecomunicações na América do Sul, atacando sistemas Windows e Linux, além de dispositivos de borda. A Cisco Talos, que monitora essa atividade, descreve UAT-9244 como associado ao grupo FamousSparrow, que também possui vínculos com o grupo Salt Typhoon, conhecido por suas ações contra provedores de serviços de telecomunicações.

Recentemente, pesquisadores da Huntress identificaram uma campanha maliciosa que utiliza instaladores falsos do OpenClaw, um agente de IA de código aberto, para disseminar malware. Os atacantes criaram repositórios no GitHub que se apresentavam como instaladores legítimos do OpenClaw, sendo promovidos pelo recurso de busca aprimorada da IA do Microsoft Bing. Esses repositórios, embora parecessem autênticos à primeira vista, continham instruções que levavam os usuários a executar comandos que implantavam malware, como infostealers e proxies. Para usuários de macOS, as instruções incluíam um comando bash que direcionava para um repositório malicioso, enquanto usuários do Windows eram levados a baixar executáveis que continham loaders de malware. Entre os malwares identificados estavam o Vidar, que coleta dados de usuários, e o GhostSocks, que transforma máquinas em nós de proxy. A Huntress reportou os repositórios maliciosos ao GitHub, mas ainda não está claro se foram removidos. Este incidente destaca a importância de verificar a autenticidade de fontes de download e a necessidade de cautela ao buscar software online.

Um grupo de ameaça persistente avançada, identificado como UAT-9244 e vinculado à China, tem como alvo provedores de serviços de telecomunicações na América do Sul desde 2024. Pesquisadores da Cisco Talos relataram que o grupo utiliza três novas famílias de malware: TernDoor, um backdoor para Windows; PeerTime, um backdoor para Linux que utiliza o protocolo BitTorrent; e BruteEntry, um scanner de força bruta que transforma dispositivos comprometidos em nós de escaneamento.

Pesquisadores da Check Point Research alertaram sobre uma campanha de ciberespionagem, denominada ‘Silver Dragon’, que visa instituições governamentais na Europa e no Sudeste Asiático. O grupo hacker APT41, associado à China, utiliza um backdoor chamado GearDoor, que explora a API do Google Drive para roubar dados. Os atacantes empregam táticas de phishing, enviando documentos maliciosos que simulam comunicações oficiais. Após a instalação do malware, ele cria uma pasta na nuvem para ocultar suas atividades, enviando arquivos comuns para não levantar suspeitas. Além disso, o malware utiliza um sistema de monitoramento chamado SilverScreen para capturar imagens da tela das vítimas sem sobrecarregar o sistema. A operação se aproveita de recursos legítimos do Windows para garantir sua permanência e dificultar a detecção por redes governamentais. Essa situação representa um risco significativo para a segurança de dados sensíveis, especialmente considerando a crescente dependência de plataformas de armazenamento em nuvem por entidades governamentais.

O aplicativo de mensagens Telegram tem se tornado um ponto central para atividades criminosas, com hackers utilizando a plataforma para vender acessos corporativos, dados roubados e serviços de malware. Pesquisadores da CYFIRMA identificaram um aumento na utilização do Telegram para operações ilegais, que antes eram realizadas principalmente em fóruns da dark web. Essa mudança se deve à facilidade de uso e à resistência da plataforma a desativações frequentes por parte das autoridades. Os grupos criminosos no Telegram operam como um ‘shopping center automatizado’, utilizando bots para encontrar senhas roubadas e processar pagamentos rapidamente. Além disso, o Telegram serve como um canal de suporte para esses criminosos, oferecendo ferramentas e recursos para facilitar suas atividades. Apesar de o Telegram ter colaborado com autoridades, atendendo a 900 solicitações de dados nos EUA, essa ação não tem sido suficiente para conter o crescimento desses grupos. A situação exige uma resposta mais robusta, já que a simples vigilância após incidentes não tem se mostrado eficaz para mitigar os danos causados por essas comunidades criminosas.

Um grupo de ameaças ligado ao Irã, identificado como Dust Specter, está sendo responsabilizado por uma campanha de ciberataques direcionada a autoridades governamentais do Iraque. A campanha, observada pela Zscaler ThreatLabz em janeiro de 2026, utiliza técnicas de engenharia social para se passar pelo Ministério das Relações Exteriores do Iraque e distribuir um conjunto de malwares inéditos, incluindo SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM.

Os ataques começam com um arquivo RAR protegido por senha, que contém um dropper .NET chamado SPLITDROP. Este dropper carrega o módulo TWINTASK, que é um DLL malicioso que se infiltra em um processo legítimo do VLC Media Player para executar comandos a partir de um arquivo de texto. O módulo TWINTALK, por sua vez, atua como um orquestrador de comando e controle (C2), permitindo a comunicação com o servidor C2.

Recentes desenvolvimentos em cibersegurança revelam uma rápida evolução no cenário de ameaças. A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) alertou sobre uma campanha de phishing que visa instituições governamentais, utilizando e-mails maliciosos para disseminar malwares como SHADOWSNIFF e SALATSTEALER. Além disso, um novo serviço de malware como serviço (MaaS) chamado TrustConnect está sendo utilizado para distribuir um RAT (Remote Access Trojan) disfarçado de ferramenta legítima de gerenciamento remoto.

Uma operação conjunta de agências de segurança desmantelou o LeakBase, um dos maiores fóruns online para cibercriminosos, que contava com mais de 142 mil membros e 215 mil mensagens. O fórum, que estava ativo desde junho de 2021, era um mercado para a compra e venda de dados roubados e ferramentas de cibercrime, incluindo credenciais de contas e informações financeiras. O FBI e a Europol lideraram a operação, que ocorreu nos dias 3 e 4 de março de 2026, resultando em buscas, prisões e a apreensão de dados dos usuários, como contas, mensagens privadas e logs de IP. O LeakBase tinha uma política que proibia a venda de bancos de dados russos, possivelmente para evitar a atenção das autoridades. A operação foi parte de um esforço internacional para combater o cibercrime, com ações em vários países, incluindo EUA, Austrália e Reino Unido. O impacto da operação é significativo, pois o LeakBase era uma plataforma central para a troca de informações que poderiam ser usadas em fraudes e invasões de contas.

Um novo conjunto de 23 exploits para iOS, denominado ‘Coruna’, foi identificado em campanhas de espionagem e ataques financeiros. O kit inclui cinco cadeias de exploits sofisticados, que utilizam técnicas não documentadas para versões do iOS de 13.0 a 17.2.1. A primeira atividade relacionada ao Coruna foi observada em fevereiro de 2025, associada a um fornecedor de vigilância. Um exploit específico, CVE-2024-23222, permitiu a execução remota de código e foi corrigido pela Apple em janeiro de 2024. O kit foi utilizado em ataques direcionados a usuários de iPhone que acessavam sites comprometidos, especialmente na Ucrânia, e também em sites falsos de jogos e criptomoedas na China. O Coruna é capaz de identificar a versão do dispositivo e selecionar a cadeia de exploits adequada, parando se o Modo de Bloqueio estiver ativo. Após a exploração, um carregador chamado PlasmaLoader é injetado, visando aplicativos de carteira de criptomoedas. A análise sugere que o Coruna evoluiu de um uso em espionagem para atividades criminosas em larga escala, levantando preocupações sobre a segurança dos usuários comuns de iPhone. A Google recomenda que os usuários atualizem seus dispositivos e ativem o Modo de Bloqueio se a atualização não for possível.

Pesquisadores de segurança da Dark Web Informer descobriram que hackers estão vendendo um script malicioso em fóruns clandestinos, que explora vulnerabilidades do WhatsApp para roubar dados pessoais. O exploit, que custa cerca de R$ 160, é projetado para travar o aplicativo em dispositivos Android e iOS. No Android, o ataque provoca o travamento completo do WhatsApp, enquanto no iOS, além do travamento, ele congela conversas em grupos, dificultando o acesso do usuário. O script também possui funcionalidades que permitem bombardeios de chamadas de voz e vídeo, tornando o dispositivo inutilizável durante o ataque. O fato de o exploit ser de fácil execução, sem necessidade de configurações complexas, aumenta o risco, pois qualquer pessoa com um número de celular pode utilizá-lo. A situação é alarmante, considerando que o WhatsApp é amplamente utilizado no Brasil, e a possibilidade de ataques em massa pode afetar a privacidade e segurança de milhões de usuários.

Recentemente, a empresa de segurança Malwarebytes identificou uma nova campanha de phishing que utiliza chamadas falsas em plataformas como Zoom e Google Meet para instalar um aplicativo de monitoramento malicioso no Windows. Os hackers criaram um processo que simula a instalação do aplicativo legítimo Teramind, utilizado por empresas para monitorar dispositivos. O golpe começa com um link aparentemente inofensivo que leva a uma página falsa de videochamada, onde o usuário é induzido a baixar um arquivo de atualização. Esse arquivo, na verdade, instala um malware que coleta informações sensíveis, como teclas pressionadas, capturas de tela e histórico de navegação. A campanha também se aproveita da familiaridade dos usuários com essas plataformas de videoconferência, tornando o ataque mais eficaz. Para se proteger, é recomendado verificar o domínio dos links recebidos e evitar instalar atualizações de fontes desconhecidas.

Pesquisadores de cibersegurança revelaram detalhes sobre o grupo de ameaças persistentes avançadas (APT) conhecido como Silver Dragon, que está vinculado a ataques cibernéticos direcionados a entidades na Europa e no Sudeste Asiático desde meados de 2024. O grupo, associado ao APT41, uma notória facção de hackers chineses, utiliza técnicas sofisticadas para obter acesso inicial, como a exploração de servidores expostos na internet e o envio de e-mails de phishing com anexos maliciosos.

Pesquisadores de cibersegurança identificaram pacotes PHP maliciosos no Packagist, que se apresentam como utilitários do Laravel, mas atuam como um trojan de acesso remoto (RAT) em sistemas Windows, macOS e Linux. Os pacotes em questão são ’nhattuanbl/lara-helper’, ’nhattuanbl/simple-queue’ e ’nhattuanbl/lara-swagger’. O pacote ’lara-swagger’ não contém código malicioso diretamente, mas depende do ’lara-helper’, que instala o RAT. Os pacotes ainda estão disponíveis para download. O RAT, uma vez carregado, se conecta a um servidor de comando e controle (C2) e permite que o operador tenha acesso total ao sistema comprometido, incluindo a capacidade de executar comandos, capturar telas e manipular arquivos. Embora o servidor C2 esteja inativo no momento, o RAT tenta se reconectar a cada 15 segundos, representando um risco contínuo. Os usuários que instalaram esses pacotes devem considerar suas aplicações comprometidas, removê-los e auditar o tráfego de saída. Além dos pacotes maliciosos, o autor publicou outras bibliotecas limpas para ganhar credibilidade. A situação é crítica, pois qualquer aplicação Laravel que tenha instalado os pacotes mencionados está sob risco de controle remoto.

Pesquisadores da Microsoft Defender alertam sobre uma nova técnica de ataque que abusa do mecanismo de redirecionamento legítimo do OAuth para contornar as proteções contra phishing em e-mails e navegadores. Os ataques têm como alvo organizações governamentais e do setor público, utilizando links de phishing que induzem os usuários a autenticar-se em aplicativos maliciosos. Os criminosos criam aplicativos OAuth maliciosos em um tenant que controlam, configurando um URI de redirecionamento que aponta para sua infraestrutura. Mesmo que os URLs pareçam legítimos, eles são manipulados para forçar redirecionamentos silenciosos, levando os usuários a páginas de phishing. Em alguns casos, os atacantes utilizam frameworks como EvilProxy para interceptar cookies de sessão válidos, burlando a autenticação multifator (MFA). Além disso, os atacantes podem entregar arquivos ZIP maliciosos que, ao serem abertos, executam scripts PowerShell para realizar reconhecimento e carregar cargas úteis finais. A Microsoft recomenda que as organizações reforcem as permissões para aplicativos OAuth e implementem políticas de Acesso Condicional para mitigar esses riscos.

Recentemente, pesquisadores da Huntress identificaram uma nova campanha de ciberataque onde criminosos se passam por suporte técnico para implantar o framework de comando e controle (C2) Havoc, visando a exfiltração de dados ou ataques de ransomware. A intrusão foi observada em cinco organizações parceiras, onde os atacantes utilizaram e-mails de spam como iscas, seguidos de ligações telefônicas que ativaram um complexo pipeline de entrega de malware.

Em uma das organizações, os atacantes conseguiram se mover lateralmente para nove endpoints em apenas 11 horas, utilizando uma combinação de payloads personalizados do Havoc e ferramentas legítimas de gerenciamento remoto (RMM) para garantir persistência. A técnica de engenharia social, que inclui a criação de páginas falsas que imitam serviços da Microsoft, foi fundamental para o sucesso do ataque, permitindo que os criminosos coletassem credenciais dos usuários.

Pesquisadores de segurança da Microsoft alertaram sobre uma nova tática de hackers que utilizam instaladores falsos de jogos populares, como Xeno e Roblox, para disseminar trojans de acesso remoto (RATs). Os arquivos maliciosos, disfarçados como executáveis legítimos, empregam técnicas furtivas para se manterem ocultos no sistema da vítima. Após a instalação, um Java runtime portátil é utilizado para executar um arquivo malicioso, que se conecta a servidores remotos e permite o controle do computador da vítima. Os hackers aproveitam ferramentas já existentes no Windows, conhecidas como LOLbins, para evitar a detecção, fazendo com que suas atividades pareçam normais. A Microsoft já atualizou seu Defender para detectar esses malwares, mas recomenda que os usuários monitorem o tráfego de saída e bloqueiem conexões suspeitas. A orientação é que os jogadores evitem baixar ferramentas de fontes não oficiais, pois a probabilidade de contaminação por malware é alta. Este incidente destaca a importância de se manter vigilante ao baixar softwares, especialmente em ambientes de jogos.

A Microsoft alertou sobre novas campanhas de phishing que utilizam e-mails maliciosos e mecanismos de redirecionamento de URLs OAuth para contornar defesas tradicionais de segurança em e-mails e navegadores. Essas campanhas visam organizações governamentais e do setor público, redirecionando as vítimas para infraestruturas controladas pelos atacantes sem a necessidade de roubar tokens de autenticação. Os ataques se aproveitam do comportamento padrão do OAuth, permitindo que os invasores criem URLs que parecem benignas, mas que levam a páginas maliciosas.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova suíte de phishing chamada Starkiller, que utiliza páginas de login legítimas para contornar as proteções de autenticação multifator (MFA). O grupo de ameaças Jinkusu promove essa plataforma como um serviço de cibercrime, permitindo que usuários escolham marcas para imitar ou insiram URLs reais. A técnica de proxy de páginas de login permite que os atacantes atualizem suas páginas de phishing em tempo real, sem a necessidade de modificar templates. Isso é feito através de uma instância do Chrome sem interface gráfica, que atua como um proxy reverso entre o usuário e o site legítimo, capturando todas as entradas do usuário. Além disso, a evolução de kits de phishing, como o 1Phish, mostra um aumento na sofisticação das ameaças, com a capacidade de capturar códigos de autenticação de um único uso (OTPs) e implementar lógica de impressão digital do navegador para filtrar bots. As campanhas de phishing estão se tornando mais complexas, com ataques direcionados a empresas e instituições financeiras, utilizando técnicas avançadas para evitar a detecção. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que dependem de MFA para proteger suas contas.

O grupo de cibercriminosos conhecido como SloppyLemming está por trás de uma nova onda de ataques direcionados a entidades governamentais e operadores de infraestrutura crítica em países como Paquistão e Bangladesh, conforme relatado pela Arctic Wolf. As atividades ocorreram entre janeiro de 2025 e janeiro de 2026 e envolveram duas cadeias de ataque distintas que utilizam malwares conhecidos como BurrowShell e um keylogger baseado em Rust. A utilização da linguagem de programação Rust representa uma evolução nas ferramentas do grupo, que anteriormente utilizava apenas linguagens compiladas tradicionais e frameworks de simulação de adversários. Os ataques foram iniciados por meio de e-mails de spear-phishing que continham iscas em PDF e documentos do Excel com macros maliciosas. O BurrowShell, um backdoor completo, permite ao atacante manipular o sistema de arquivos, capturar telas e executar comandos remotamente, disfarçando seu tráfego de comando e controle como comunicações do serviço de atualização do Windows. A análise também revelou um aumento significativo na infraestrutura do grupo, com 112 domínios do Cloudflare Workers registrados em um ano, indicando uma escalada em suas operações. O foco em entidades críticas, como órgãos reguladores nucleares e instituições financeiras, sugere um alinhamento com prioridades de coleta de inteligência na competição estratégica regional.

Uma nova campanha de phishing está utilizando uma página falsa de segurança de conta do Google para distribuir um aplicativo web malicioso. Este aplicativo, que se aproveita de recursos de Progressive Web App (PWA), é capaz de roubar códigos de verificação de uso único (OTP), coletar endereços de carteiras de criptomoedas e redirecionar o tráfego do atacante através dos navegadores das vítimas. Os criminosos cibernéticos utilizam o domínio google-prism[.]com, que simula um serviço legítimo do Google, e enganam os usuários a conceder permissões arriscadas sob a falsa promessa de aumentar a segurança de seus dispositivos. O aplicativo malicioso pode exfiltrar dados de contatos, informações de localização em tempo real e conteúdos da área de transferência. Além disso, ele atua como um proxy de rede, permitindo que os atacantes realizem requisições através do navegador da vítima. A campanha também inclui um APK para Android que promete proteção adicional, mas que na verdade compromete ainda mais a segurança do dispositivo. Especialistas alertam que o Google não realiza verificações de segurança através de pop-ups e que todas as ferramentas de segurança estão disponíveis no site oficial da conta do Google. A remoção do aplicativo malicioso é recomendada, e os usuários devem estar atentos a sinais de comprometimento.

O arquivo com extensão .scr, que remete a protetores de tela no Windows, é frequentemente utilizado por cibercriminosos para disseminar malware. Em 2026, a probabilidade de receber um arquivo .scr malicioso por e-mail é de 99,9%. Isso ocorre porque o Windows trata arquivos .scr da mesma forma que arquivos executáveis (.exe), permitindo que um malware se disfarce como um documento legítimo, como um PDF. Os golpistas costumam usar camuflagens, como nomes de arquivos que parecem inofensivos, mas que na verdade contêm a extensão .scr oculta. Para se proteger, é recomendado ativar a exibição de extensões de arquivos no Windows Explorer, o que ajuda a identificar arquivos suspeitos. Além disso, uma solução prática é criar um arquivo .scr que abra no Bloco de Notas, impedindo a execução de qualquer código malicioso. Para usuários mais avançados, é aconselhável bloquear a execução de arquivos .scr fora da pasta do sistema. Essas medidas são essenciais para evitar que usuários desavisados sejam vítimas de ataques cibernéticos.

Pesquisadores de cibersegurança revelaram uma nova fase da campanha Contagious Interview, atribuída a atores de ameaças da Coreia do Norte, que publicaram 26 pacotes maliciosos no registro npm. Esses pacotes se disfarçam como ferramentas de desenvolvimento, mas contêm funcionalidades para extrair URLs de comando e controle (C2) usando conteúdo aparentemente inofensivo do Pastebin. A infraestrutura C2 está hospedada na Vercel, com 31 implantações. Os pacotes incluem um script de instalação que executa um payload malicioso, que utiliza esteganografia para decodificar URLs C2 ocultas em ensaios de ciência da computação. O malware, uma combinação de um ladrão de credenciais e um trojan de acesso remoto, é projetado para operar em múltiplas plataformas, incluindo Windows, macOS e Linux. A campanha demonstra um esforço refinado para evitar detecções automatizadas e revisões humanas, utilizando técnicas de evasão sofisticadas. Os pesquisadores alertam que essa abordagem pode ter implicações significativas para desenvolvedores e empresas que utilizam o npm, especialmente no Brasil, onde tecnologias semelhantes são amplamente adotadas.

O proxyware é um tipo de malware que transforma dispositivos infectados em ’laranjas digitais’, permitindo que hackers utilizem o endereço IP da vítima para realizar atividades criminosas, como ataques DDoS e fraudes financeiras. Ao contrário de vírus comuns, o proxyware redireciona o tráfego da internet da vítima sem que ela perceba, colocando sua integridade e reputação em risco. Recentemente, um caso envolvendo um site falso do 7-Zip demonstrou como usuários desavisados podem ser enganados e ter seus dispositivos infectados. Os sinais de infecção incluem lentidão na internet, ventoinhas do PC funcionando em alta velocidade e bloqueios de acesso a determinados sites. Para se proteger, é essencial que os usuários verifiquem processos suspeitos em seus sistemas e utilizem ferramentas de segurança confiáveis. O proxyware representa uma ameaça significativa, pois pode levar a consequências legais para as vítimas, que podem ser erroneamente associadas a atividades ilícitas.

O cenário da cibersegurança está em constante evolução, e novos tipos de malware têm se tornado cada vez mais sofisticados. Ao contrário do ransomware, que caiu em 38% segundo o relatório The Red Report 2026, as novas ameaças se infiltram silenciosamente nos sistemas, visando roubar dados e realizar atividades maliciosas sem serem detectadas. Esses malwares, como o LummaC2, utilizam técnicas avançadas, como o ’teste de Turing reverso’, para identificar se estão operando em um ambiente real ou em uma sandbox de antivírus. Eles monitoram o movimento do mouse e aplicam trigonometria para distinguir entre ações humanas e robóticas, evitando assim a detecção. Além disso, esses malwares camuflam o tráfego de dados, utilizando domínios legítimos para enviar informações roubadas, o que dificulta a identificação por firewalls. Embora os antivírus tradicionais estejam perdendo a batalha contra essas ameaças, soluções comportamentais como EDR e XDR estão surgindo como alternativas promissoras para detectar anomalias. A crescente complexidade dos malwares exige que as empresas adotem medidas proativas para proteger seus dados e sistemas.

O malware Oblivion é um novo Trojan de Acesso Remoto (RAT) que afeta dispositivos Android, especialmente aqueles que operam entre as versões 8 e 16. Este software malicioso, que pode ser adquirido por assinatura a partir de US$ 300, permite que atacantes assumam o controle total dos dispositivos, interceptando mensagens SMS, notificações e códigos de autenticação de dois fatores sem que o usuário perceba. O Oblivion contorna as proteções do Android, utilizando a Accessibility Service de forma abusiva para automatizar a aprovação de permissões, o que facilita a instalação de aplicativos maliciosos fora das lojas oficiais. Uma vez ativo, o malware pode monitorar atividades em tempo real, lançar ou remover aplicativos remotamente e ocultar sua presença através de sobreposições enganosas. Os pesquisadores de segurança alertam que a instalação de aplicativos de fontes não confiáveis e a concessão desnecessária de permissões de acessibilidade aumentam o risco de infecção. Medidas de proteção incluem a realização de varreduras de segurança, uso de proteção de endpoint e auditoria regular das permissões de aplicativos.

A extensão do Chrome chamada ‘QuickLens - Search Screen with Google Lens’ foi removida da Chrome Web Store após ser comprometida para distribuir malware e tentar roubar criptomoedas de milhares de usuários. Originalmente, a extensão permitia que os usuários realizassem buscas com o Google Lens diretamente no navegador e contava com cerca de 7.000 usuários. No entanto, em 17 de fevereiro de 2026, uma nova versão foi lançada, contendo scripts maliciosos que introduziram ataques ClickFix e funcionalidades de roubo de informações. Pesquisadores de segurança relataram que a extensão mudou de propriedade e, em seguida, recebeu uma atualização que solicitava novas permissões de navegador e removia cabeçalhos de segurança, facilitando a execução de scripts maliciosos. A extensão se comunicava com um servidor de comando e controle, coletando dados do usuário e tentando roubar informações de carteiras de criptomoedas. Os usuários afetados foram aconselhados a remover a extensão, escanear seus dispositivos em busca de malware e redefinir senhas. Este incidente destaca a vulnerabilidade de extensões populares e a necessidade de vigilância constante por parte dos usuários e administradores de segurança.

As Smart TVs e TVs Box se tornaram populares no Brasil, oferecendo comodidade e acesso a conteúdos de streaming. No entanto, esses dispositivos estão vulneráveis a ataques cibernéticos, especialmente quando conectados à internet sem as devidas precauções. Os hackers exploram brechas de segurança, muitas vezes em TVs Box que não recebem atualizações de software, tornando-as alvos fáceis. Para proteger esses aparelhos, é essencial manter sistemas e aplicativos atualizados, evitar a instalação de aplicativos de fontes não oficiais e garantir a segurança da rede Wi-Fi. A falta de certificação em muitos modelos de TV Box aumenta o risco de infecções por malware, que podem comprometer não apenas o dispositivo, mas toda a rede doméstica. Além disso, é importante estar atento à privacidade, desativando rastreamentos indesejados. Caso a TV seja infectada, é necessário identificar sinais de comprometimento e tomar medidas para mitigar o problema. A conscientização sobre esses riscos é fundamental para garantir a segurança e a privacidade dos usuários.

Hackers da Coreia do Norte, atribuídos ao grupo APT37, estão utilizando uma nova campanha maliciosa chamada Ruby Jumper, que visa transferir dados entre sistemas conectados à internet e sistemas isolados (air-gapped). Essa técnica é comum em setores críticos, como infraestrutura e militar, onde a transferência de dados é feita por meio de dispositivos de armazenamento removíveis. A campanha foi analisada pela Zscaler, que identificou um conjunto de cinco ferramentas maliciosas: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK e FOOTWINE.

Pesquisadores de cibersegurança revelaram um módulo Go malicioso que visa coletar senhas, criar acesso persistente via SSH e instalar um backdoor Linux conhecido como Rekoobe. O módulo, que se disfarça como parte do repositório legítimo ‘golang.org/x/crypto’, injeta código malicioso que exfiltra informações sensíveis inseridas em prompts de senha do terminal para um servidor remoto. Ao ser executado, o código baixa um script que adiciona a chave SSH do invasor ao arquivo ‘authorized_keys’ do usuário, altera as políticas do iptables para aceitar conexões e busca mais cargas úteis disfarçadas com a extensão .mp5. Entre essas cargas, uma é um trojan conhecido, Rekoobe, que permite ao invasor receber comandos e executar ações maliciosas no sistema. O Go security team já tomou medidas para bloquear o módulo, mas a natureza do ataque sugere que campanhas semelhantes podem ocorrer no futuro, visando bibliotecas de alta relevância. Defensores devem estar atentos a ataques de cadeia de suprimentos que possam afetar outras bibliotecas críticas de autenticação e conexão em sistemas Linux.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou novas informações sobre o RESURGE, um implante malicioso utilizado em ataques de zero-day que exploram a vulnerabilidade CVE-2025-0282, visando dispositivos Ivanti Connect Secure. O RESURGE é descrito como um arquivo de objeto compartilhado Linux de 32 bits que permite comunicação encoberta com o atacante, utilizando técnicas sofisticadas de evasão e autenticação em nível de rede. O malware pode sobreviver a reinicializações, criar webshells para roubo de credenciais, criar contas, redefinir senhas e escalar privilégios. A vulnerabilidade crítica foi explorada desde dezembro de 2024 por um ator de ameaças vinculado à China, conhecido internamente como UNC5221. O RESURGE se destaca por sua capacidade de permanecer latente em sistemas até que um ator remoto tente se conectar ao dispositivo comprometido, o que o torna uma ameaça ativa e difícil de detectar. A CISA recomenda que administradores de sistemas utilizem os indicadores de comprometimento (IoCs) atualizados para identificar e remover infecções do RESURGE em dispositivos Ivanti.

Recentemente, atores de ameaças têm atraído usuários a executarem utilitários de jogos trojanizados, distribuídos por navegadores e plataformas de chat, com o objetivo de implantar um Trojan de Acesso Remoto (RAT). Segundo a equipe de Inteligência de Ameaças da Microsoft, um downloader malicioso utilizou um ambiente Java portátil para executar um arquivo JAR malicioso, denominado jd-gui.jar. O ataque se destaca pela utilização de PowerShell e binários de living-off-the-land (LOLBins) como cmstp.exe, permitindo uma execução furtiva.

O grupo de ameaças cibernéticas norte-coreano conhecido como ScarCruft foi associado a uma nova campanha de malware chamada Ruby Jumper, que utiliza ferramentas sofisticadas para vigilância e controle de sistemas. A campanha, descoberta pela Zscaler ThreatLabz em dezembro de 2025, envolve o uso de um backdoor que se comunica via Zoho WorkDrive, além de implantes que utilizam mídias removíveis para transmitir comandos e invadir redes isoladas.

Quando um usuário abre um arquivo LNK malicioso, um comando PowerShell é executado, permitindo que o malware extraia múltiplos payloads embutidos. Entre os payloads estão o RESTLEAF, que utiliza Zoho WorkDrive para comunicação de comando e controle, e o THUMBSBD, que se disfarça como um arquivo Ruby e pode coletar informações do sistema, exfiltrar arquivos e executar comandos arbitrários. O THUMBSBD também distribui o FOOTWINE, que possui capacidades de keylogging e captura de áudio e vídeo.

Uma nova campanha de cibercrime está ameaçando a segurança dos brasileiros, conforme relatado pela empresa de segurança ZenoX. Hackers estão explorando domínios do Gov.br para roubar dados bancários, utilizando duas táticas principais: comprometer sites legítimos do governo e criar URLs falsas que imitam portais oficiais. No primeiro caso, um site do governo do estado de Goiás foi encontrado com um malware escondido, que passa despercebido por antivírus devido à sua origem em um domínio considerado seguro. No segundo caso, hackers criam links falsos que se parecem com portais governamentais, levando as vítimas a baixar um software malicioso disfarçado de um aplicativo comum. Após a instalação, o infostealer permite que os criminosos monitorem atividades online, capturem credenciais e acessem informações sensíveis. A recomendação para os usuários é evitar clicar em links desconhecidos e acessar portais governamentais apenas por meio de aplicativos oficiais ou URLs verificadas. A situação ainda está em investigação, e não há informações sobre a extensão da operação criminosa.

Pesquisadores de cibersegurança revelaram um novo loader de botnet chamado Aeternum C2, que utiliza uma infraestrutura de comando e controle (C2) baseada em blockchain para resistir a tentativas de derrubada. Ao invés de depender de servidores tradicionais, o Aeternum armazena suas instruções na blockchain pública Polygon, tornando sua infraestrutura de C2 praticamente permanente. Essa abordagem já foi observada em outras botnets, como a Glupteba, que usava a blockchain do Bitcoin como mecanismo de backup.

Pesquisadores da Veracode identificaram um novo malware, o trojan de acesso remoto (RAT) Pulsar, que se disfarça em pacotes npm maliciosos, utilizando imagens PNG para ocultar seu código. Este malware é projetado para evitar a detecção de antivírus e enganar os usuários, dando a impressão de ser um repositório comum. O processo de instalação é complexo e inicia-se quando um usuário executa um comando npm install, que baixa um downloader que se conecta à pasta de inicialização do Windows. O código do malware é ofuscado, dificultando sua identificação, e utiliza esteganografia para esconder comandos maliciosos em pixels de imagens. O RAT é capaz de obter privilégios de administrador e manipular processos do Windows, fazendo com que pareçam legítimos. A Veracode recomenda que desenvolvedores fiquem atentos ao pacote buildrunner-dev e bloqueiem a URL associada ao malware. Este incidente destaca a necessidade de vigilância constante e atualização de medidas de segurança em ambientes de desenvolvimento.

O Google, em colaboração com a Mandiant e outros parceiros, desmantelou uma rede de espionagem global conhecida como UNC2814, que visava organizações governamentais e de telecomunicações em mais de 40 países. A campanha, que começou em 2023, utilizou um malware inédito chamado GridTide, que explorava a API do Google Sheets para comunicação de comando e controle (C2). Em vez de se conectar a servidores remotos, o malware fazia requisições HTTPS para a infraestrutura legítima do Google, disfarçando-se no tráfego normal das empresas. Os comandos eram armazenados em células de planilhas controladas pelos atacantes, que inseriam instruções codificadas. O Google conseguiu interromper a campanha desativando todos os projetos do Google Cloud controlados pelos hackers e revogando o acesso à API do Google Sheets. A operação afetou pelo menos 53 organizações em 42 países, com a suspeita de que o grupo esteja presente em mais 20 países. A maioria das regiões afetadas inclui a América Latina, Europa Oriental, Rússia, partes da África e do Sul da Ásia, enquanto a Europa Ocidental e os EUA não foram impactados.